2022-08-11 67 0

前言随着数据库参数化查询的方式越来越普遍，SQL注入漏洞较之于以前也大大减少，而PDO作为php中最典型的预编译查询方式，使用越来越广泛。众所周知，PDO是php中防止SQL注入最好的方式，但并不是100%杜绝SQL注入的方式，关键还要看如何使用。之前在一篇文章中了解到PDO场景下参数可控导致的多句执行等问题（https://xz.aliyun.com/t/3950）于是对PDO场景下的SQL注入又进行了一些探究。PDO查询语句可控存在的安全问题：首先在本地新建一个库和表，随便写点东西。然后写一个test