हाँ बिल्कुल।
क्या होगा अगर in_var
' UNION SELECT password from admins --
?
इससे बचने के लिए, आपको कार्गो पंथ . का उपयोग नहीं करना चाहिए तैयार बयान लेकिन एक वास्तविक एक, एक प्लेसहोल्डर के साथ अपने चर को प्रतिस्थापित करना।
SET @query = CONCAT("SELECT * FROM my_table WHERE my_column = ? LIMIT 1;");
PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;