0
可能性の重複:
What does mysql_real_escape_string() do that addslashes() doesn't?addslashes(string)だけでSQLインジェクションを防止できますか?
ない場合は、私がmysql_escape_stringを使用している、そしてそれは\ r \ nのような言葉に文字を追加し、私はそれを望んでいません..
A
答えて
5
いいえ、安全ではありません。代わりにmysql_real_escape_string()を使用してください。それは、文字列をエスケープするのに必要な以上に何かを加えてはいけません。
http://php.net/mysql-real-escape-string
これは、あまりにも他のデータベースに適用されます:拡張固有のエスケープ関数を使用します。
+0
なぜそれは安全ではありませんか? –
+0
@MichaelTontchevこれは、引用符だけでなく、すべてが適切な方法でSQL文字列のためにエスケープされるようにします。ここで良い説明があります:http://stackoverflow.com/questions/3473047 – Jonah
3
いいえ、addslashesは十分ではありません。 mysql_escape_stringは必ずしも十分ではありません。 mysql_real_escape_stringを使用してください。
追加したものが好きかどうかは関係ありませんが、クエリ構文が有効であることを確認するために文字をエスケープするだけです。これがあなたがやっていることのやり方になれば、あなたは何か間違ったことをしているのです。
2
また、mysqli関数とPrepared Statementsを使用することもできます。これは、すべての引用がデータの一部とみなされるため、最初は問題を回避します。
3
関連する問題
- 1. フォームデータ:防止SQLインジェクション
- 2. PHP防止SQLインジェクション/ XSS
- 3. PHP SQLインジェクション防止技術
- 4. SQLインジェクションの防止方法
- 5. PHP SQLインジェクション防止構文
- 6. 防止SQLインジェクションとのSqlDataAdapter
- 7. SQLインジェクション防止用パッケージ
- 8. c#to PHP SQLインジェクション防止
- 9. SQL Server - SQLインジェクションを防止する
- 10. ストアドプロシージャでのSQLインジェクションの防止
- 11. Codeigniter RestFul library SQLインジェクションを防止する
- 12. SQLインジェクションの挿入を防止する
- 13. SQLインジェクションを防止するHttpUtility.UrlEncode
- 14. execまたはexecuteでクエリにSQLインジェクションを防止する
- 15. mysqli_real_escape_stringがSQLインジェクションを防止できないのはなぜですか?
- 16. SQLインジェクションの防止 - mybatisとspring
- 17. ストアドプロシージャによるSQLインジェクションの防止
- 18. SQLインジェクション防止:最大対策
- 19. rubyスクリプトによるSQLインジェクションの防止
- 20. SQLParameterはSQLインジェクションをどのように防止しますか?
- 21. psychopg2:cursor.mogrifyはSQLインジェクションを防止しますか?
- 22. 実行されていないSQLでのSQLインジェクションの防止
- 23. URLインジェクションを防止する
- 24. SQLインジェクションを防止するためのC#regexでのエラー
- 25. SQLインジェクションを防ぐ
- 26. LINQ-To-SQLはSQLインジェクションをどのように防止しますか?
- 27. SQLインジェクションを防止するために必要なステップは何ですか?
- 28. 停止SQLインジェクション
- 29. regexp_replaceを使用してSQLインジェクションを防止する
- 30. 詳細ページからのSQLインジェクションの防止
mysql_real_escape_stringは最終データに何も追加しません。それが起こった場合は、別の質問をしてください。他に何か起こっている可能性があります –
mysql_real_escape_string()に問題がある場合は、Magic Quotesがオフになっていることを確認してください。 – keithjgrant
どうすればいいですか? – Seth