い防止のSQLインジェクションランプ。

Question

ここにいくつかの例があります可能性の会話が始動

1. 逃がすべての入力に設定する処理です。
2. 脱それぞれの値は、好ましくは生成時には、SQL.

最初に液が入りますので、それunescape各値を使用する場合でそれ以外のものSQLのように、出力でウェブページです。

の第二ソリューションいい感じ"の記事の中で、手動での脱出の各値は痛い。

私が認識し 諸表の作成, しかし、見 MySQLi 常に煩雑です。また、分離のクエリからの入力をしていなが重要なのは、秩序正しいので、間違いのないように、このように書き間違ったデータに違います。

Answer 1

として@Rob Walker、パラメータ化されたクエリにおいて最高のベット。でご利用の場合は、PHP、いま見る PDO サポートに対するコミットメントのデータオブジェクト).これはネイティブデータベース抽象化図書館が支援のための幅広いデータベース(MySQLを含む）などを用意し、発言と発言間の関係を明確に名前のパラメータ.

Answer 2

準備書に最良の答えです。で試験できるので、間違いを犯す!

見 この 質問です。

Answer 3

こうと思いを用意します。したい場合に成功した場合は、ほとんどのチェックしたいのPDO機能をクリアしました。なうもので、簡単な操作で実行成績ることができるほかちょっときれいな色になりまデータベースagnosticない関数呼び出しで始まるmysql_,mysqli_、pgsql_.

Answer 4

PDOれでいいただけることになりましたがあります。このDBALでの張力する（はずの）切り替えベンダーがあります。なんの構築ャSQLインジェクション.

とにかく抜け出したいな"と思ったとsanatizeご入力を用意書きの良い測定（秒ます。がるのだと思うのではないでしょうか例えばを活用し フィルター.

Answer 5

私は常に使用されている第一ソリューションで99%の時間変数 $_GET, $_POST, は、 $_COOKIE ずっと出力のブラウザです。まもなっ誤って書きコードとSQLインジェクションの場合は使わない引用符をクエリとしては、第二ソリューションが簡単に忘れては逃げの文字列を使用しています。

実際に、その理由をプログラムを組んでそのようにしたい全てのサイトのmagic_quotes設定はデフォルトでは、お客さま人数小児-幼児に書くのを使用したコードの二つのソリューション、いろんな作業の変更を行う。