К сожалению, есть. Передаете параметр как:
Код:
1" UNION SELECT BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM fe_users --
и ваш сервер умер надолго. Конечно, надо подобрать количество параметров в этом запросе таким, как число колонок в вашей таблице, но это совсем не сложно.
Правильно так:
PHP код:
$a1 = t3lib_div::_POST('a1');
$a2 = t3lib_div::_POST('a2');
$query = 'SELECT * FROM my_table WHERE a1=' . $GLOBALS['TYPO3_DB']->fullQuoteStr($a1, 'my_table');