この関数を通過した後、入力はどの程度安全ですか?
100%安全ですか?
$id = $_POST['id'];
$id = mysql_real_escape_string($id);
2 に答える
1
安全ではありません。
安全性とは全く関係ありません
于 2012-02-22T13:50:51.987 に答える
1
最善の方法は、準備済みステートメントを使用して、SQL とユーザー提供のデータをまったく混在させないことです。
あなたの場合( が数字であると仮定してid)、単純に$id = intval($_POST['id']);. 単純な整数では、何も注入できません。その場合も必要ありませんmysql_real_escape_string()。
文字列引数の場合は、を使用するmysql_real_escape_string()だけで十分ですが、SQL 文字列内の引数を一重引用符で囲むことを忘れないでください!
于 2012-02-22T12:26:06.957 に答える