次の関数を使用して mysql エラーをログに記録することについてどう思いますか?
<?php
function sql_query($query)
{
$q = mysql_query($query);
if(!$q)
{
mysql_query('INSERT INTO mysql_errors (error_query, error_about) VALUES ('.
$query.', '.mysql_error().' )');
}
return $q;
}
?>
便利だと思いますか?どうすれば改善できますか?
次のようにする必要があります。
mysql_query("INSERT INTO mysql_errors (error_query, error_about, error_date) VALUES ('".
mysql_real_escape_string($query)."', '".mysql_real_escape_string(mysql_error())."',NOW())");
日付フィールドを追加し、入力をサニタイズしました。新しいエラーと古いエラーを区別する方法が必要であり、日付フィールドがそれを行います。
適切なエラーを誘発する方法を見つけた場合、これを使用して SQL インジェクションを実行できます。
なぜ MySQL のネイティブ エラー ログを使用しないのでしょうか? それらをDBに戻す理由はありますか?
入力をサニタイズしていないようです。$query に '? 別の SQL エラーが発生します。
もちろん、データベース接続が既に開いていて、ここで開く必要がない場合、2 番目のクエリの値を一重引用符で囲んでいる限り、関数は期待どおりに機能します。関連して、mysql_error ログは十分ではありませんか?