我用MySQL++来操作数据库的,数据库中有两张表wealth和account。有段代码像这样:void func(const char* name)
{
char buf[256];
const char* sql = "SELECT coin FROM wealth WHERE id=(SELECT id FROM account \
WHERE name='%s'";
sprintf(buf, sql, name)
// exceute sql
}
name这个参数是由客户端传过来的,这样是否很容易被注入?该如何防范呢?
{
char buf[256];
const char* sql = "SELECT coin FROM wealth WHERE id=(SELECT id FROM account \
WHERE name='%s'";
sprintf(buf, sql, name)
// exceute sql
}
name这个参数是由客户端传过来的,这样是否很容易被注入?该如何防范呢?
stmt_bind是API还是库?
搜索出来没有太多结果