SQLインジェクションを防ぐための多くのドキュメントを読みました。彼らはとを使用して言っPDO
たmysql_real_escape_string
。
私はBBSコード(古いスタイル...)をプログラムし、私のBBSコードを使用している人は、次のような簡単なコードを実行します。
select * from $g4[member_table] where mb_id='$mb_id' and mb_1='$my_option'
$mb_id
mysql_real_escape_string
するが、$my_option
多分しないでください。したがって、clean_sql()のようなphp関数を使用して$_GET
、すべての変数をクリーンアップしたいと思います。$_POST
$_REQUEST
clean_sql()$ my_optionの値が「1」の場合、すべてのSQLステートメントをクリアします。unionselect * from g4_member where mb_id ='admin' "
clean_sql()のような関数を教えてください。
===cleal_sqlはphp4.xで動作する必要があります。