PHPとMySQLでのサニタイズやインジェクション対策

2010年4月30日

PHP+MySQLのシステムの場合、ユーザから受け取る値はサニタイズする事が必須。

$a = htmlspecialchars($a,ENT_QUOTES,’UTF-8′);

$a = mysql_real_escape_string($a);

なお、mysql_real_escape_stringに似た関数に

mysql_escape_string

があるが、これはPHP6では排除される予定で非推奨とのことなので、使わない方が良い。