php - データベースへの POST 変数の安全な使用

Question

コミュニティの皆様、データベースアプリケーションを作成してからしばらく経ちましたが、念のために簡単な質問があります。

ここにある PHP コードは安全に使用できますか? PHP 5.3.8 を使用した基本的な DA インストールがあるため、マジッククォートを無効にする必要があります。

ご挨拶、

 <?php
    $id =  ( mysql_real_escape_string( stripslashes ($_POST['id'])));
    $naam = ( mysql_real_escape_string( stripslashes  ($_POST['naam'])));
    $bericht =  ( mysql_real_escape_string ( stripslashes ($_POST['bericht'])));

    if ($id and $naam and $bericht) {

    $databsestring = "<div class=\"reactie\"><h3>".$naam." op ".date ("F j, Y").":</h3>" . $bericht . "</div>";

    if ($db_found) {

    $SQL = "UPDATE xxxxx_comments SET comments = CONCAT (comments,'".$databsestring."') WHERE id='".$id."'";
    $result = mysql_query($SQL);


    mysql_close($db_handle);

    }
    ?>

score 2 · Accepted Answer

mysql_ *は非推奨です。データを安全に保存するには、mysqliまたはPDOを使用してください。

例えば：

    $add_user = $mysqli->prepare("INSERT INTO `users` SET  `name`=?, `email`=?, `encrypted_password`=?");
    $add_user->bind_param("sss",$name,$email,$hash["encrypted"]);
    $add_user->execute()

プリペアドステートメントを使用することは、SQLインジェクションを回避するための安全な方法です

php - データベースへの POST 変数の安全な使用

1 に答える 1

Related

Reference