Diciamo che quando l'applicazione lato server (come WordPress) applica add_magic_quotes
a tutti i parametri GET / POST ( $_GET = add_magic_quotes($_GET);
), quindi chiama l'url:
example.com/?id=a'b
l'app ora ha variabili sicure e l'esecuzione della query SQL non sembra più dannosa:
$id = $_GET['id']; //----> a\'b
$mysql->query("Select ..... where id='$id'");
C'è qualche caso, quando potrebbe ancora essere una minaccia alla sicurezza? Qualche esempio, per favore? In che modo la query SQL può non essere protetta, in quanto è sfuggita \'
carattere all'interno di $id
?