在防止SQL注入时,PG::Connection#exec_参数是否与使用准备好的语句相同?
准备好的语句可以很好地防止SQL注入,并且使用手动将变量注入SQL查询是邪恶的,应该永远不要这样做 但是呢?它提供的sql注入保护级别是否与准备好的语句相同 如果它确实提供了针对sql注入的保护,那么它总是正确的,还是只有在显式绑定参数时才正确;博士:是的 我不知道Ruby驱动程序的内部细节。我假设它可以使用三种策略。从理论上讲,只有一种可能受到顶级SQL注入攻击(下文将对此进行详细介绍),但所有类型的攻击都可能受到较低级别SQL注入攻击的攻击,就像准备好的语句一样 要理解这一点,您需要了解PostgreSQL如何执行查询:在防止SQL注入时,PG::Connection#exec_参数是否与使用准备好的语句相同?,sql,ruby,postgresql,pg,Sql,Ruby,Postgresql,Pg,准备好的语句可以很好地防止SQL注入,并且使用手动将变量注入SQL查询是邪恶的,应该永远不要这样做 但是呢?它提供的sql注入保护级别是否与准备好的语句相同 如果它确实提供了针对sql注入的保护,那么它总是正确的,还是只有在显式绑定参数时才正确;博士:是的 我不知道Ruby驱动程序的内部细节。我假设它可以使用三种策略。从理论上讲,只有一种可能受到顶级SQL注入攻击(下文将对此进行详细介绍),但所有类型的攻击都可能受到较低级别SQL注入攻击的攻击,就像准备好的语句一样 要理解这一点,您需要了解Po