挿入時に入力データに接尾辞を追加します。これは可能ですか？ （mySQL/php）

Question

mySQLに新しいレコードを挿入するたびに、regデータの末尾に接尾辞として "v"という文字を追加する必要があります。

ここに私の挿入スクリプトがあります。クライアントがこのPHPアクションを挿入して挿入する際に、文字 "v"をregデータに置くことは可能ですか？

<? 
$order = "INSERT INTO reg_add ( 
connect_date, 
reg, 
first_name, 
last_name) 

VALUES 

('$_POST[connect_date]', 
'$_POST[reg]', 
'$_POST[first_name]', 
'$_POST[last_name]')"; 

$result = mysql_query($order); 

if ($result) { 

$reg =  $_REQUEST['reg'] ; 
$first_name = $_REQUEST['first_name']; 

header("location: reg_add_success.php?reg=" . urlencode($reg) . "&first_name=" . urlencode($first_name)); 
} 
else { 
header("location: reg_add_fail.php"); 
} 
?> 

Answer 1

$order = "INSERT INTO reg_add ( 
connect_date, 
reg, 
first_name, 
last_name) 

VALUES 

('$_POST[connect_date]', 
'{$_POST[reg]}v', 
'$_POST[first_name]', 
'$_POST[last_name]')"; 

Answer 2

あなたはできます。 $order = "...の前に$_POST[reg] .= 'v';を追加してください。

Answer 3

危険なことは間違いありません。基本的に、悪意のあるユーザーにSQLインジェクションを実行するために必要なものすべてを提供しています。

あなたの値を収集し、悪意のあるコードが含まれていないことを検証して、挿入を実行します（必要なサフィックスを追加しました）。

真剣に...これは起こることが保証されている災害です。このうち

チェック： http://www.unixwiz.net/techtips/sql-injection.html

Answer 4

$reg = stripslashes($_POST['reg']); 
$reg = sprintf("%s%s",$reg,'v'); 

'".mysql_real_escape_string($reg)."', 

すべての値は、MySQLにINSERTを作る時に（）関数をmysql_real_escape_stringのしている必要があります。

Answer 5

まず、文字列に 'v'を追加してください。

次に、 プレーンなmysqlライブラリを使用しないでください。 mysqli（MySQLの改良版）ライブラリを使用し、準備済みのステートメントを使用する必要があります。

http://php.net/manual/en/mysqli.prepare.php

そうでなければ、あなたのコードは、SQLインジェクション