php - このコードは SQL インジェクションに対してオープンですか?

Question

このコードが SQL インジェクションに対してオープンであるかどうか、またその理由を教えてください。

$x = $_REQUEST['id'];
$x = mysql_real_escape_string($x);
$del = "DELETE FROM Y WHERE id = ".$x;
mysql_query($del);

score 0 · Accepted Answer

これは、x を引用しないためです。

次のような単純なものを使用することもできます。

sprintf("DELETE FROM Y WHERE id = %u", $x);

score -6 · Accepted Answer

-6

mysql_real_escape_string() を使用してエスケープするべきではありません

于 2013-06-08T08:51:33.013 に答える

3 に答える 3