重複の可能性:
PHP で SQL インジェクションを防止する最善の方法
php get var clear 良いか悪いか教えてください
function Clear($text)
$Var = str_replace("'", "", $text);
$Var = str_replace('"', '', $Var);
$Var = strip_tags($Var);
$Var = htmlentities($Var);
return $Var;
}
$_GET['Var'] = "1='1'";
$Var = Clear($_GET['Var']);
$Query = "SELECT * FROM TABLE_NAME WHERE COL ='{$Var}'";
echo 'Result : '.($Query);
これは SQL インジェクション用です。これは私が pdo を使用して書いたサンプル コードです。mysql_real_escape_string を使用すると、機能しません。