0

私はSQLインジェクションに慣れていないので、スクリプトに脆弱性があるかどうかを知りたいです.もしあれば、それを指摘して修正するためのヒントを教えてください.

<?php
include("config.php");
?>

<?php
$desc = $_POST['desc'];
$desc = mysql_real_escape_string($desc);
$author = $_POST['author'];
$date = date("d/M/Y");
mysql_query("INSERT INTO `changelog`(`author`, `date`, `description`) VALUES ('{$author}','{$date}','$desc')") or die(mysql_error());
include("success.php");
?>
4

2 に答える 2

1

はいあります。mysql_real_escape_string非推奨になったものだけに依存しています。さらに、予想される入力の範囲に基づいて、独自のロジック テストを作成する必要があります。RegExp やその他のトリミング関数を使用したいかもしれませんが、 だけに依存しないでmysql_real_escape_stringください。

于 2013-07-21T22:45:54.490 に答える
0

期待するデータをテストするロジックを作成する必要があります。

SQL インジェクションの防止に関する詳細については、http://php.net/manual/en/security.database.sql-injection.phpを参照してください。

于 2013-07-21T22:48:42.563 に答える