SQL照合クエリーのSQLインジェクション

Question

SQLインジェクションを使用してこのクエリーをハッキングできますか？

SELECT count(*) FROM mytable_fts where mytable_fts match ? 

例

SELECT COUNT（*）mytable_fts一致mytable_fts FROM ""

私は

SELECT count(*) FROM mytable_fts where mytable_fts match "a" OR 1==1 

を使用してみましたが、それはのように起こっているとして、それが働いていませんでしたマッチパラメータ。

このクエリでは、どのような例でもSQLインジェクションの例がありますか？

Answer 1

SQLインジェクションの脆弱性は、クエリの構築方法と比較して、クエリ自体とはあまり関係がありません。文字列連結の代わりにクエリ変数を使用すると、問題ありません。文字列連結を使用すると、パラメータを持つクエリは脆弱です。