使用pg_escape_literal PHP函数,我将用户输入数据进行转义,具体操作如下:
<?php
$dbconn = pg_connect('dbname=foo');
$escaped = pg_escape_literal($_GET['name']);
pg_query("INSERT INTO participants (name) VALUES ({$escaped})");
?>
作为一个新手,我有以下的问题:
- 是否有一种方法可以在给定的代码中实现SQL注入攻击?
- 这段代码中还存在未处理的其他漏洞吗?
使用PHP 5.4和PostgreSQL 9.2。