PHP - アポストロフィからバックスラッシュを削除する

Question

以下のコードでは、ユーザーは普通の英語でフレーズを入力することができ、その後、データベースに "$ site"として追加されます。ユーザーがアポストロフィを入力すると、フレーズはアポストロフィの前にバックスラッシュを付けて保存されます。アポストロフィの前にバックスラッシュを付けずに、変数 "$ site"をデータベースに追加するにはどうすればよいですか？

事前のおかげで、

ジョン

print "<div class=\"siteadd\"> 
     <form action='process.php?find=$find1' method='post'> 
     Add a book to this topic: <input name='site' type='text' size='50'> 
     <input type='submit' value='Submit'> 
     </form> 
     </div>"; 

その後、process.php上：

$site = str_replace($remove_array, "", $_POST['site']); 
$site = strtolower($site); 
$site = mysql_real_escape_string($site); 
$illegal = array("/", "\""); 
$site = str_replace($illegal, '', $site); 

mysql_query("INSERT INTO `$find` VALUES (NULL, '$site',1,0)"); 

Answer 1

セキュリティ上の理由から、バックスラッシュがPHPによって追加されたと仮定します。 magic quotesについてもっと読む。 mysqlクエリに渡された文字列をエスケープするために適切な関数を使用しているので、PHPのダミーエスケープに頼る必要はありません。スクリプトの先頭に

は magic_quotesがオンになっている場合は、チェックし、もしそうであれば、スラッシュを削除します。

if (get_magic_quotes_gpc()) { 
    function stripslashes_deep($value) 
    { 
     $value = is_array($value) ? 
        array_map('stripslashes_deep', $value) : 
        stripslashes($value); 

     return $value; 
    } 

    $_POST = array_map('stripslashes_deep', $_POST); 
    $_GET = array_map('stripslashes_deep', $_GET); 
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE); 
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST); 
} 

ところで、あなたのコードでは、$find変数は、信頼できないソースから来て、エスケープする必要があります/同様にフィルタリングされた。

Answer 2

mysql_real_escape_string()への呼び出しは、おそらく理由（http://us2.php.net/mysql_real_escape_string）ですが、あなたもかもしれませんあなたのサーバーでマジッククォートを有効にしてください（http://php.net/manual/en/security.magicquotes.php）。

Answer 3

mysqli::prepareを使用した場合、mysqli_stmtにbind_paramを使用してください。これにより、他のタイプのSQLインジェクションも防止されます。