SQLインジェクションを防止するために必要なステップは何ですか？

Question

previous question I had postedに応答して、データベースをSQLインジェクションに開放しているという応答がありました。何のSQLインジェクションが発生しない可能性があることを確認するために「[-ZA-Z0-9]// ^」私は、サーバー側の検証チェックを行うことができますということでしたが、それは十分である

<?php 


     $firstname = stripslashes(strip_tags($_POST['firstname'])); 

     $lastname = stripslashes(strip_tags($_POST['lastname'])); 
     $email = stripslashes(strip_tags($_POST['email'])); 
     $title = stripslashes(strip_tags($_POST['title'])); 
     $organization = stripslashes(strip_tags($_POST['organization'])); 


    $pdbHost = "localhost"; 
    $pdbUserName = "******"; 
    $pdbPassword = "******"; 
    $pdbName  = "db1080824_emails"; 



    // Connect to mySQL 
    $conlink = mysql_connect($pdbHost, $pdbUserName, $pdbPassword); 
    if(!$conlink) {die('Unable to connect to '.$pdbHost);} 
    if (!mysql_select_db($pdbName, $conlink)){die('Cannot find database '.$pdbName);} 

    //SQL query 

     $SQL2="INSERT INTO `db1080824_emails`.`emails` (`record_id` ,`firstname`,`lastname`,`email`,`title`,`organization`)VALUES (NULL , '".$firstname."', '".$lastname."', '".$email."', '".$title."', '".$organization."')"; 

     mysql_query($SQL2); 
    // Connect to Closing the connection 
    mysql_close($conlink); 
?> 

提案：コードを以下に示します。データのサニタイズを確実にするために従うべきベストプラクティスがありますか？

Answer 1

準備文を使用してください。真剣に。これを行う簡単な方法は、PHPのデータベースラッパーPDOを使用することです。

$firstname = $_POST['firstname']; 
$lastname = …; 
… 

$db = new PDO('mysql:host=hostname;dbname=dbname', 'username', 'password'); 
$stmt = $db->prepare('INSERT INTO `db1080824_emails`.`emails` (`firstname`,`lastname`,`email`,`title`,`organization`) 
    VALUES (:firstname, :lastname, :email, :title, :organization)'); 
$stmt->execute(array(
    ':firstname' => $firstname, 
    ':lastname' => $lastname, 
    ':email' => $email, 
    ':title' => $title, 
    ':organization' => $organization)); 

Answer 2

SQLインジェクションを防止するためにmysql_real_escape_string()を使用してください。この機能だけで十分です。

また、@knittlが述べたように、prepared statementを使うことは、それを防ぐための非常に良い方法です。しかし、通常のmysql_ * libaryはそれをサポートしていません。そんなことをするには、PDOやMySQLiというライブラリが必要です。 PDOやMySQLiに切り替えることをお勧めします。これは、より高いPHPバージョンではmysql_ * libaryが非推奨になるためです。あなたのコードを改善するための

他のいくつかのヒント：

• はdie()を使用しないでください。あなたが間違いを犯すなら、あなたは死なないでしょう。エラーを素早く処理し、必要な場所に配置する方がよいでしょう。
• mysql_close()は必要ありません。 PHPは実行終了時にすべての接続を閉じます。
• クエリでエラー処理が使用され、クエリでfalseが返された場合は問題が発生します。クエリで何かが行われた場合は、mysql_affected_rows()またはmysql_num_rowsもチェックしてください。

---

私はこの回答のコメントに答えるため。文字列の場合は、mysql_real_escape_ 文字列を使用する必要があります。あなたがmysql_real_escape_string()を使用している場合は、クエリで文字列を囲む引用符（'）を入れていることを確認してください：

$query = "SELECT foo FROM bar WHERE name = '".mysql_real_escape_string($_POST['name'])."'"; 

あなたがintergersまたは任意の他の番号を使用する場合はtypecastingなくエスケープ関数を使用する必要があります。

$query = "SELECT foo FROM bar WHERE id = ".(int) $_POST['id']; 

Answer 3

I PDOを使用してきた、私はこれは注入から保護することを信じている：

$db_user = "****"; 
$db_pass= "****"; 
$dsn = "mysql:dbname=yourdatabasename; host=localhost"; 
$dbh = new PDO($dsn, $db_user, $db_pass); 

$sql = 'INSERT INTO 
     emails(firstname, lastname, email, title, organization) 
     VALUES(:firstname,:lastname,:email,:title,:organization)'; 
$data = array(':firstname'=>$firstname, 
       ':lastname'=>$lastname, 
       ':email'=>$email, 
       ':title'=>$title, 
       ':organization'=>$organization); 

$sth = $dbh->prepare($sql); 
$sth->execute($data);