Cita:
|
Empezado por mamcx
El problema del comodin es solo si el codigo es vulnerable a injeccion.
Al usar parametros, este se "escapa". Es como con las URL. Si envias "un/ejemplo" directo, se entiende como una subcarpeta. Pero si se escapa es "un%2Fejemplo". Es el mismo principio: Al usar parametros, la BD "escapa" los caracteres potencialmente peligrosos, ergo, no hay peligro de injeccion.
|
¡Ah! Pero eso no es así. No al menos en el caso de MySQL. Me refiero a que el caracter % pasa tal cual, sin escaparse, al momento de sustituir el parámetro. De lo contrario no serviría realmente como comodín. Y juraría que es igual con otras bases de datos.
// Saludos