mysql - SQL インジェクションプロテクト

Question

重複の可能性:
PHP で SQL インジェクションを防止する最善の方法

このコードは、SQL インジェクションに対して十分に保護されていますか

if(isset($_POST['Submit']))
{
$user = mysql_real_escape_string($_POST["user"]);
$pass = mysql_real_escape_string($_POST["pass"]);
$confirm_key=md5(uniqid(rand()));

$query = mysql_query("INSERT INTO members 
(user, pass, mail, confirm_key, country, city, www, credo)
VALUES  ('$user','$pass','$_POST[mail]','$confirm_key','$_POST[country]','$_POST[city]','$_POST[www]','$_POST[credo]')")
or die ("Error during INSERT INTO members:    " . mysql_error());
exit();
}

これは正しい方法であり、各入力 (国、都市など) を保護する必要がありますか?

score 5 · Accepted Answer

mysql_query新しいアプリケーションには使用しないでください。mysqliまたは PDO を使用して、プレースホルダーでエスケープする必要があります。使用できる例がたくさんあります。

通常、SQL は次のようになります。

INSERT INTO `table` (column) VALUES (?)

次のようにすべきではありません:

INSERT INTO `table` (column) VALUES('$dangerous_user_content')

プレースホルダーを適切に使用すれば、SQL インジェクションホールを作成することはほとんど不可能です。

score 1 · Accepted Answer

http://php.net/manual/en/function.mysql-real-escape-string.php

PHPドキュメントでさえ、mysql_real_escape_stringを使用しないと言っています

mysql - SQL インジェクション プロテクト

2 に答える 2

Related

Reference

mysql - SQL インジェクションプロテクト