1

データベースのセキュリティのために、プリペアド ステートメントでバインド パラメータと、入力で mysql_real_escape_string() の両方を実行する必要がありますか?

ありがとう!

4

1 に答える 1

1

いいえ、パラメーター化されたクエリはそれ自体で問題ありません。クエリとは別に渡されたすべての変数データをパラメーターに保持している限り、エスケープ/エスケープ処理なしでそれらを取得できます。

一般に、入力フェーズでブランケット エスケープを行うべきではありません。実際に値を挿入する時点まで、どのような種類のエスケープ (SQL、HTML、JS など) が必要になるかはわかりません。それらの文字列コンテキストの。すべての入力データにあらゆる種類のエスケープを適用すると、入力処理が混乱し、一貫性がなくなります。

于 2013-03-05T00:47:20.807 に答える