Ja selvfølgelig.
Hvad hvis in_var
er lig med ' UNION SELECT password from admins --
?
For at undgå det bør du ikke bruge en lastkult udarbejdet udsagn, men en reel, og erstatte din variabel med en pladsholder.
SET @query = CONCAT("SELECT * FROM my_table WHERE my_column = ? LIMIT 1;");
PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;