mysql_real_escape_string（）は何も逃げていません

Question

1. インサートとステートメントから選択の両方でReal Escapeを使用する必要がありますか？

2. なぜ次の例で使用している構文が機能していないのですか（これは私が試した多くの方法の1つにすぎません）？

   //insert user input for word 1
   $sql = "INSERT INTO test (Word1, Word2, Word3, Word4, Word5)
   VALUES('$Word1','$Word2','$Word3','$Word4','$Word5')",
   mysql_real_escape_string($Word1),
   mysql_real_escape_string($Word2),
   mysql_real_escape_string($Word3),
   mysql_real_escape_string($Word4),
   mysql_real_escape_string($Word5);
   if(!mysql_query($sql,$con))
   {
     die('Error: ' . mysql_error());
   }
   

Answer 1

私はあなたが完全に逃げることを避け、直接に移動することを強くお勧めします 準備されたステートメント と mysqli ::準備, 、おそらく経由 PDO. 。最終的にはよりシンプルで安全です：

$dsn = 'mysql:dbname=test;host=127.0.0.1';
$user = 'dbuser';
$password = 'dbpass';

$dbh = new PDO($dsn, $user, $password);

$sql =
    'INSERT INTO mytable ' .
    '(Word1, Word2, Word3, Word4, Word5)' .
    'VALUES(?, ?, ?, ?, ?)';

$stmt = $dbh->prepare($sql);

$words = array('word1', 'word2', 'word3', 'word4', 'word5');
$stmt->execute($words);

$words = array('word6', 'word7', 'word8', 'word9', 'word10');
$stmt->execute($words);

Answer 2

使用しようとしているようです sprintf（）, 、適切に行うには、コードを少し再フォーマットする必要があります。

$sql = sprintf("INSERT INTO test (Word1, Word2, Word3, Word4, Word5)
VALUES('%s','%s','%s','%s','%s')",
mysql_real_escape_string($Word1),
mysql_real_escape_string($Word2),
mysql_real_escape_string($Word3),
mysql_real_escape_string($Word4),
mysql_real_escape_string($Word5)
);