つまり、現時点では、php でデータをスクリーニングして mysql データベースに送信するのに最も安全です。
ありがとうございました )
mysql_real_escape_string() mysql i _real_escape_string()が入力データをエスケープする最良の方法だと思います
すべてが現在非推奨であり、情報が有効でなければならないため、後で編集します。
古いコードを最新の状態に保つ必要がある場合は、準備済みステートメントの方がはるかに安全なPDOを使用するか、 mysqli_*() 関数を使用してみてください。
現在、あなたの安全を確保するための最も好ましい方法は、準備された声明です.
例:
$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');
$preparedStatement->execute(array(':username' => $username));
$rows = $preparedStatement->fetchAll();
次に、データの使用を表示するときhtmlspecialchars()
validMySQL($var) {
$var=stripslashes($var);
$var=htmlentities($var);
$var=strip_tags($var);
$var=mysql_real_escape_string($var);
return $var
}
上記のコードは、ほとんどの無効なデータをサニタイズするのに役立ちます。ただし、mysql_real_escape_string が機能するには、mysql データベースに接続している必要があることを覚えておいてください...