重複の可能性:
PHP で SQL インジェクションを防ぐ最善の方法 PHP
の mysqli クラスは、SQL インジェクションから 100% 保護しますか?
そのため、SQL インジェクションに対する安全性について調べてきましたが、PDO はそのような攻撃に対抗する最も安全な方法のようですが、MYSQL_ から MYSQLI_ に移行することにしました。
だから、変換した後、私は自分のサイトを十分に安全なものにし始める時が来たと判断しました.
例として、mysqli_real_escape_string の使用を開始しました。以下のコードは十分に安全でしょうか..それともさらに構築できますか? また、それを SELECT ステートメントに追加する必要がありますか、それとも INSERT ステートメントだけに追加する必要がありますか?
$sql_follows="SELECT * FROM friends WHERE user1_id=".mysqli_real_escape_string($mysqli,$user1_id)." OR user2_id=".mysqli_real_escape_string($mysqli,$user2_id);
$query_follows=mysqli_query($mysqli,$sql_follows) or die("Error finding friendships");