コードにインジェクションを実行するために使用できるすべての MySQL コマンドは何ですか?
UNION と CONCAT を無効にしました。
私は非常に基本的なアプリケーションを使用しているため、複雑なクエリは必要ありません。インジェクションが問題にならないようにするために他に何を無効にできますか?
はい、私が知る限り、すべての変数をサニタイズしました。問題は、それが複数の関係者によるプロジェクトであり、私が作業するために渡されたいくつかのライブラリで、ずさんな作業に気付いたことです。
すべてのポスト変数をサニタイズして元に戻すことを考えていましたが、いくつかのポスト変数の複雑な多次元の性質のために、それは非常に複雑な作業になるでしょう。
インジェクションは、ほぼすべてのタイプの SQL ステートメントで可能です。
インジェクションを回避する唯一の安全な方法は、準備済みステートメントを使用し、データをクエリ パラメーターにバインドすることです。
キーワードを単純に無効にすることはできません。次の例を見てください。
SELECT ID FROM user WHERE name='*' AND password = ' whatever' OR password <> ''
SQL ステートメントに追加する前に、ユーザー入力をエスケープする必要があります (例: mysqli_real_escape_string())。さらに良いのは、PDO で準備済みステートメントを使用することです。
[…] 注射が問題にならないようにするには?
それはできません。SQL インジェクションが可能である場合、それらは問題です。