serialize()シリアル化された配列を dbに挿入することは完全に安全ですか、それともaddslashes(serialize($array))前に行うべきですか? または、いくつかの mysql 固有の文字が存在する可能性がありますか? 挿入でデータなどを削除できますか?
質問する
2083 次
2 に答える
4
いいえ、まったく安全ではありません。
代わりにaddslashesbutを使用しないでください。mysql_real_escape_stringまたは、エスケープする代わりに、準備されたステートメントで PDO を使用することをお勧めします。
于 2012-05-08T10:34:50.517 に答える
4
データベース固有の処理を行わずにシリアル化されたデータをデータベースに挿入することは、まったく安全ではありません。
選択したデータベース アクセス レイヤーで SQL インジェクションを防止するために推奨されるメカニズムを使用する必要があります。インジェクションに対してクエリを安全にすることには、データを適切にエスケープすることも含まれるため、一石二鳥です。
PHP で SQL インジェクションを防ぐにはどうすればよいですか? を参照してください。具体的な例については。
于 2012-05-08T10:35:17.053 に答える