php - php - SQL インジェクション

Question

重複の可能性:
PHP で SQL インジェクションを防ぐ最善の方法は?

私はまだmysql_古いプロジェクトで ext を使用しているので、mysql_real_escape_string()SQL インジェクションを防ぐのに十分ですか? または私は使用する必要がありますexpressionsか？

Answer 1

これは、何を参照しようとしているかによって異なります。mysql_real_escape_string通常、値がintorの場合は使用しませんdouble。ただし、それが文字列である場合 (そして、自分以外の誰かによって操作された可能性のあるデータを挿入するときに注意を払う必要があります)、安全なはずです。

PDO はインジェクションのすべてではありませんが、物事をよりシンプルにします。しかし、mysql_*何年にもわたって正常に使用されており、サイトの安全性が低下することはありません (サイトの作成者によって異なります)。