0

重複の可能性:
PHP で SQL インジェクションを防ぐ最善の方法は?

別のページから渡された変数を使用するときに呼び出す次の関数があります。私の質問は、これに urlencode 情報を追加して、使用する関数を 1 つにすることはできますか、それとも、アドレス バーと非表示のフォーム フィールドを介して情報を渡す変数に対して別々の関数を使用するのが最善でしょうか?

私は PDO を使用しておらず、可能な場合は型キャストしています。

function checkInput($value) {
// Stripslashes
if (get_magic_quotes_gpc())

// Stripslashes
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}

// Quote if not a number
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

ご協力いただきありがとうございます!

4

1 に答える 1

1

mysqli は準備済みステートメントもサポートしています。mysqli が利用できない場合でも、PEAR DB のような準備済みステートメントを提供するシステムが常に存在します。

于 2012-10-10T01:21:27.867 に答える