使用准备语句和mysqli_stmt_bind_param时是否仍存在注入风险?mysqli_stmt_bind_param SQL注入
例如:
$malicious_input = 'bob"; drop table users';
mysqli_stmt_bind_param($stmt, 's', $malicious_input);
在幕后做mysqli_stmt_bind_param通过这个查询字符串到MySQL:
SET @username = "bob"; drop table users";
抑或是通过API执行SET命令,或者使用某种类型的保护为了防止这种情况发生?