PHPとMySQLでのサニタイズやインジェクション対策
PHP+MySQLのシステムの場合、ユーザから受け取る値はサニタイズする事が必須。
$a = htmlspecialchars($a,ENT_QUOTES,’UTF-8′);
や
$a = mysql_real_escape_string($a);
なお、mysql_real_escape_stringに似た関数に
mysql_escape_string
があるが、これはPHP6では排除される予定で非推奨とのことなので、使わない方が良い。
ディスカッション
コメント一覧
まだ、コメントがありません