重複の可能性:
PHPでSQLインジェクションを防ぐ方法は?
MySQLインジェクションを防ぐためにPDOプリペアドステートメントを使用していますが、ユーザー入力をサニタイズするためにさらに何かを行う必要がありますか?ユーザーには、自分の入力と「友達」の他の人の入力のみが表示されます。入力をサニタイズするために他に何かする必要がありますか?
魔法の引用が有効になっているとは思いませんし、ユーザーが私のサイトを台無しにする他の方法は考えられませんが、私はこれに慣れていないのでわかりません。
前もって感謝します!
プリペアドステートメントを使用している場合は、MySQLインジェクションに問題はありません。
アプリケーションがプリペアドステートメントのみを使用する場合、開発者はSQLインジェクションが発生しないことを確認できます(ただし、クエリの他の部分がエスケープされていない入力で構築されている場合でも、SQLインジェクションは可能です)。
ただし、サイトのレイアウトをいじったり、さらに悪いことに任意のJavaScriptを実行したりする問題を回避するために、特定のHTMLタグ(存在する場合)のみを表示するように、出力をサニタイズすることを検討してください。