Ich habe hier irgendwo gelesen, dass die Verwendung von vorbereiteten Anweisungen in PDO Ihre App nur immun gegen SQL-Injektionen erster Ordnung, aber nicht völlig immun gegen Injektionen zweiter Ordnung macht.

Meine Frage ist: Wenn wir vorbereitete Anweisungen in allen Abfragen einschließlich SELECT-Abfragen und nicht nur in INSERT-Abfragen verwendet haben, wie kann dann eine SQL-Injektion zweiter Ordnung möglich sein?

Zum Beispiel gibt es in den folgenden Abfragen keine Chance für eine Injektion 2. Ordnung:

schreiben:

INSERT INTO posts (userID,text,date) VALUES(?,?,?)

lesen:

SELECT * FROM posts WEHRE userID=?

löschen:

DELETE FROM posts WHERE userID=?