SQLインジェクションからSQLエスケープ文字列を使用せずにMySQLテーブルにデータをエスケープするにはどうすればよいですか?mysqlエスケープ文字列を使用しないエスケープ
PDOを使用し、複数のクエリをサポートしていないYiiフレームワークを使用しています。私は複数の挿入クエリを実行し、挿入されている値をエスケープする必要があります。
Yii::app()->quoteValue
入力がmysqlに挿入されている箇所に二重引用符""
が挿入されているため、機能しません。 SQLインジェクションを防ぐために使用できるPHP関数はありますか?
プリペアドステートメントのパラメータとして値がある場合は、すでに安全です。 –
PDOを使用している場合は、プレースホルダを正しく使用している限り、追加のエスケープを必要としないプリペアドステートメントを使用する必要があります。文字列で連結します。 –
私は彼の問題は複数の挿入クエリを構築する必要があり、PDOを使用しているフレームワークが複数挿入クエリをサポートしていないと思います。 – nickb