重複の可能性:
addslashes()によるSQLインジェクションの例?
私は継承したPHPアプリケーションを使用していますが、それは...興味深いものです。
Webサイトを保護するための多くの興味深い方法の中には、すべての周りに魔法の引用符を使用する方法があります。これは、基本的にすべての$_GET変数と$_POST変数の周りにaddslashes()をキャストします。
以前のプログラマーは、これによりWebサイトが不浸透性になると主張しており、mySQLテーブルがGBKエンコーディングを使用している場合にのみ、Webサイトが脆弱になることを読みました。そうではなく、すべてがlatin1エンコーディングを使用しています。
実用性[そして私は基本的にここでは一時的なものであるという事実]は、PDOを使用してWebサイトを書き直すことは起こらないことを意味しますが、魔法の引用符をオフにして(したがって、addslashes()メソッドを使用しない)キャストする価値があります必要に応じて、各変数の周りのmysql_real_escape_string()?