私は PHP を初めて使用し、MySQL ステートメントはインジェクションに対して安全ではないと言われました。
私の古いクエリがあります:
$addbook = "INSERT INTO bookings (bookID, startDate, startTime, endDate, endTime) ";
$addtempres .= "VALUES ('".$bookid."', '".$startdate."', '".$starttime."', '".$enddate."', '".$endtime."')";
$insertBook = mysql_query($addbook);
$getblogposts = mysql_query("SELECT * FROM blogposts WHERE deleted = 'no' ORDER BY postID DESC LIMIT 4");
それについて読んだ後、それらが安全でないことを理解しました。また、mysql_query が古く、減価償却されていることも理解しています。
しかし、私はこれらのクエリをたくさん書いてきましたが、それらがすべて古くて安全ではないという認識は困難なので、それらを保護しようと始めました.
だから私はこれをしました:
$escapedbookid = mysql_real_escape_string($bookid) ;
$escapedstartdate = mysql_real_escape_string($sqlcoldate);
$escapedstarttime = mysql_real_escape_string($forstarttime);
$escapedenddate = mysql_real_escape_string($sqlretdate);
$escapedendtime = mysql_real_escape_string($forendtime);
$escapedactive = mysql_real_escape_string('false');
$addtembook = "INSERT INTO bookings (bookID, startDate, startTime, endDate, endTime) ";
$addtempres .= "VALUES ('".$escapedbookid."', '".$escapedstartdate."', '".$escapedstarttime."', '".$escapedenddate."', '".$escapedendtime."')";
$insertRes = mysql_query($addtempbook);
これはより安全ですか?現在のクエリを PDO プリペアド ステートメントに変換する方法を学ぶと、PDO プリペアド ステートメントの方が簡単で安全であることに感謝していますが、私がやっていることで物事がより安全になっているのかどうか疑問に思っていました。