XSSとSQLインジェクションを防ぐためにPDO準備文とhtmlspecialcharsを使用していますか？

Question

このコードの例では、htmlspecialcharはXSSを防止していますが、SQLインジェクションを防ぐPDOの準備文ですか？

if(isset($_GET['search']) AND !empty($_GET['search']) AND $_GET['search'] != ' ') { 
    $search = htmlspecialchars($_GET['search']); 
    $searchArray = explode(' ',$search); 
    var_dump($searchArray); 

    $videos = $stdb->prepare('SELECT id, title, videoTime FROM videos WHERE title LIKE "%'.$search.'%" OR title LIKE "%'.implode("\" OR title LIKE \"%", $searchArray).'%" ORDER BY id DESC limit '.$start.','.$videosPerPage); 
    $videos->execute(); 
    $totalVideos = $totalVideosReq->rowcount(); 
    $totalPages = ceil($totalVideos/$videosPerPage); 

    $currentPage = 1; 
    if(isset($_GET['page']) AND !empty($_GET['page']) AND $_GET['page'] > 0 AND $_GET['page'] <= $totalPages) { 
     $_GET['page'] = intval($_GET['page']); 
     $currentPage = $_GET['page']; 
    } else{ 
     $currentPage = 1; 
    } 
} 

Answer 1

あなたはprepare()を呼び出すことが、ちょうどprepare()を呼び出すと、SQLインジェクションから保護するために魔法の方法ではありませんしています。

パラメータを使用せずに、依然として安全でないリクエストデータをSQLクエリにコピーしています。これがSQLインジェクションの仕組みです。

保護はパラメータを使用することです。また、prepare()と​​を使用する必要がありますが、あなたが覚えておくべきポイントは、それがprepare()ではなく、あなたを保護するパラメータ化であることです。

私はあなたにこれを理解していただきたいと思います。あなたがそれを理解するまで公開用ウェブサイトにコードを載せないように助言します。

あなたはまた、htmlspecialchars()を使用しているHow can prepared statements protect from SQL injection attacks?

P.S：への受け入れ答えでいいの説明をお読みください。これはSQLインジェクションに対する保護ではありません。 htmlspecialchars()を使用すると、別のセキュリティリスク、クロスサイトスクリプティングから保護するのに役立ちますが、SQLクエリを記述しているときではなく、出力をエコーし​​たいときにこれを行います。