0

重複の可能性:
PHPでSQLインジェクションを防ぐ方法は?

次の例のように、ユーザー入力がSQLクエリに直接挿入されると、アプリケーションはSQLインジェクションに対して脆弱になります。

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

これは、ユーザーが次のような入力value'); DROP TABLE table;--を行ってクエリを実行できるためです。

INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')

これを防ぐために何をすべきですか?

4

1 に答える 1

3

使用するmysql_real_escape_string($_POST['data']);

PDOまたは、代わりにライブラリを使用することをお勧めします

于 2013-01-24T16:42:39.110 に答える