PHP的PDO對(duì)象或STMT對(duì)象 執(zhí)行包含注入的SQL語句
查看MYSQL日志發(fā)現(xiàn)只是把第二個(gè)單引號(hào)轉(zhuǎn)義了
SELECT * FROM admin WHERE ?user = '123' or 1 = 1#'
而用C和其他語言調(diào)用libmysql.dll的原生API 日志是這樣
select * from admin where user = X'313233'
處理方式是把參數(shù)轉(zhuǎn)換為十六進(jìn)制
都是預(yù)處理 底層處理為何會(huì)出現(xiàn)兩種不同的方式���?
PHP封裝的預(yù)處理函數(shù)是否基于MYSQL的原生API���?
百度另一種說法PHP的預(yù)處理是偽參數(shù)查詢(仿真預(yù)處理)但是百度這方面沒什么介紹資料
這種說法是否屬實(shí)�?
希望大神可以解惑 小弟再次謝過�!
