JQueryとCodeIgniterを使用して安全にDBにコメントを付けるには？

Question

PHPとJqueryを使用するCodeigniterで書いたコメントスクリプトがあります。

基本的には、ユーザーがコメントを書き込んだ後に送信します。次に、AJAXを使用してサーバーサイドスクリプトを呼び出して、コメントを確認、検証、挿入します。

私はCodeIgniterのを使用していますので、私はバインディング

以下のようなCodeIgniterのから提供を使用して、コメントをエスケープしています言うようにはJQueryの終わりに、私は、PHPの終わりに encodeURIComponent

$.ajax({ 
    url : 'http://domain.com/ajax/post_comment', 
    type : 'post', 
    data : encodeURIComponent($(this).val()), 
    success : function(data){ 
       //more code here 
      } 
}); 

を使用してエスケープしています

$sql = "INSERT INTO video_comments VALUES(NULL, ?); 
$this->db->query($sql,array($comment)); 

これはかなりうまく機能して脱出して挿入することができます

!"£$%^&*()_+=-}{~@:?></.,#;][¬`| 

問題は、'（一重引用符）または\（バックスラッシュ）を挿入できないことです。それは彼らが適切に逃げていないので、私は推測する？

単引用符をエスケープすると思われる\'を挿入することができるかもしれません。しかし、私はCodeIgnitersバインディングがそれを世話するだろうと思っていたでしょうか？

アイデア？

Answer 1

まず、encodeURIComponentでは使用しないでください。それはそれを意図したものではありません。 編集：ここでは、その呼び出しが実際に何を話しているかについてのリンクがあります。When are you supposed to use escape instead of encodeURI/encodeURIComponent?

第2に、PHPコードのどこにエスケープしているのかわかりません。 CodeIgniterでは、escape_strのように、エスケープ機能が組み込まれています：ここ

$sql = "INSERT INTO table (title) VALUES('".$this->db->escape_str($title)."')"; 

さらに詳しい情報： http://codeigniter.com/user_guide/database/queries.html

Answer 2

更新：以下の説明に従って、クエリバインディングはクエリ自体を安全にするため、エスケープ関数を個別に使用する必要はありません。

IMHO、あなたはあまりにも（あまりにも多くの）パフォーマンスが心配されていない場合は、CodeIgniterアクティブレコードクラスを使用することです。 IMOでは、アクティブレコードを無効にするとわずかなパフォーマンスの改善がありますが、有効にして使用すると多くのメリットがあります。

http://codeigniter.com/user_guide/database/active_record.html