- Da un lato dell'iniezione SQL, dovresti essere sicuro da quando sei preparato alla dichiarazione.
Vedi la risposta accettata qui .
Dalla risposta accettata:
The main principle there is using prepared statement which is designed
for sending safe query to db server, this can be done by escaping user
input which is not part of the real query, and also checking the query
without any (where clause) to check the validity of the query before
using any parameters.
- La query è limitata a tre risultati ed è su un singolo valore ( cat_name ) che riduce la possibilità di un attacco in stile DOS. Ad esempio:
Se la query potrebbe essere costretta a richiedere molto tempo per l'esecuzione, un utente malintenzionato remoto potrebbe potenzialmente utilizzare molte connessioni al database e forzare un carico eccessivo sul database.