こんにちは私はPHPとMySQLでしばらく働いています。今私はPHP-InformixとPHP-Oracle環境で作業しています。私はいつもデータベースに入るデータのためにmysql_real_escape_stringを使いました。私は現在、InformixとOracleデータベース・サーバを扱っていますが、OCI8やODBCなどのドライバを介して接続するデータベースのエスケープ・ファンクションは認識していません。Oracleデータベースへの入力に対するSQLインジェクションに対するサニタイズ
誰でもこれらのデータベースのセキュリティ対策について少し説明することができます。
非常に動的なクエリを実行していない限り、サニタイズを実行しないでください。パラメータ化されたクエリは、の右の方法です。これを行う方法については、 Here's the PHP Documentationを参照してください。
はい、Oracleには、SQLインジェクションを自動的に防止するバインド変数があります。ねえ、ねえ? :) Adam HawkesはPDOライブラリを使用しています。私は個人的にoci_bind_by_name機能を持つoci8を使用しています。
実際には、私は*すべての* PHPを知らない!私はPDOライブラリを使っている他の人も知っています。これはOCI固有のものではないので、一度使い慣れたDBで使用すると、すべてを再学習することなく別のDBに切り替えることができます。私はoci_bind_by_nameについても良いことを聞いています。 –
私はあなたのバインド変数が単一の '('が含まれている場合、クエリが失敗すると思います。 –
だから、あなたはいつも間違っていました:)文字列だけをエスケープする必要があります。数字のために何も役立たない –
あなたは邪悪ないくつかのSQLインジェクションがいかに驚異的なのだろうか? –