Trovo che sia difficile da credere, e apparentemente così fa MariaDB loro stessi (h / t @schroeder ).
MariaDB è un fork di MySQL e "intende mantenere un'elevata compatibilità con MySQL, garantendo una capacità di sostituzione drop-in con equivalenza binaria della libreria e corrispondenza esatta con le API ei comandi MySQL" in base a Wikipedia . Puoi fare un'iniezione SQL cieca su MySQL, quindi perché non dovresti essere in grado di farlo su MariaDB?
In effetti, la possibilità di eseguire qualsiasi tipo di iniezione SQL è una vulnerabilità nell'applicazione e non nel database . Quindi la tua scelta del database SQL non dovrebbe davvero importare per questo.
Ma comunque, diciamo che la persona che ti ha detto questo è giusto (cosa che non sono). Ciò significa che non devi usare DOP o dichiarazioni preparate? No, no, no, mille volte no. Che dire dell'iniezione SQL ordinaria (non cieca)? Questo è ancora più pericoloso!
Per farla breve, basta usare PDO o istruzioni preparate.