Consulta de inyección de MySQL
Estoy familiarizado con las declaraciones preparadas y sé que son las mejores prácticas cuando se trata de proteger contra la inyección de MySQL. Pero me pregunto cómo esta declaración de PHP / MySQL podría estar en riesgo de un ataque de inyección:
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".$_POST['name']."';");
Me parece que la entrada del usuario estaría contenida dentro de las comillas simples. ¿Puedes ejecutar más de una consulta en una?mysqli_query
¿declaración?
Además, hace que lo anterior sea tan fácil como esto ...
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".mysqli_real_escape_string($_POST['name'])."';");