-1
のように、ユーザからの入力を受信したとき、あなたがはhtmlspecialchars()を使用する場合:SELECTクエリでプリペアドステートメントを使用することは必須ですか?
$email = htmlspecialchars($_POST['email']);
クエリがちょうどSELECT 1であれば、あなたが準備されたステートメントを使用する必要がありますか?
A
答えて
0
常に準備文を使用する必要があります。ここexempleです: ユーザーは次のように入力した場合:
"105 or 1=1"
htmlspecialchars()機能がそれに何もしません。 クエリは次のようになります。
SELECT * FROM Users WHERE UserId = 105 or 1=1
このdoc
関連する問題
- 1. SELECT文でsqliteプリペアドステートメントを使用する
- 2. SSLを使用することは必須ですか?
- 3. document.registerElement()を使用することは必須ですか?
- 4. WorkMailとWorkDocでAWSディレクトリを使用することは必須ですか?
- 5. xsd:enumerationタグを必須/必須にすることはできますか?
- 6. requireExplicitBindingsを使用することが必須/推奨です
- 7. PLSQLブロックでカーソルを閉じることは必須ですか
- 8. TextInputを必須にすることはできますか?
- 9. データベースにOTPを格納することは必須ですか?
- 10. ReduxをReact-Nativeと併用することは必須ですか?
- 11. Java/SQL:ResultSet/Statement/Connectionを閉じる()ことは必須ですか?
- 12. リッチスニペットにメタタグを付けることは必須ですか?
- 13. ユーザ入力なしでselect文にプリペアドステートメントを使用する必要がありますか?
- 14. Infinispan.xmlは必須ですか?
- 15. main.cppは必須ですか?
- 16. SELECTクエリで計算フィールドを再利用することはできますか?
- 17. 必須( '../')とは何ですか?
- 18. rb_funcallを使用する場合、rb_protectの使用は必須ですか
- 19. mysqlクエリでSELECT内でSELECTを使用する
- 20. $ scopeを使用することは必須ですか?非角度イベントに適用$
- 21. webview android appでレイアウトを設定することは必須ですか?
- 22. 私のアプリケーションで両方を設定することは必須ですか?
- 23. Angular2でrouterLinkを必須とするのはなぜですか?
- 24. linuxでpthreadを使用する場合、pthread_joinは必須ですか?
- 25. ビルドgradleやマニフェストでtargetversionを与えることは必須ですか?
- 26. NearBy APIを使用して同じWi-Fiネットワークに接続することは必須ですか?
- 27. Django RESTフレームワーク: "このフィールドは必須です。" with必須= Falseおよびunique_together
- 28. Emberコンポーネントライフサイクルフックメソッド - スーパーを呼び出すことは必須ですか?私のプロジェクトで
- 29. Gitではマージが必須ですか?
- 30. {{outlet}}はアプリケーションテンプレートで必須ですか?
はい]を参照してください。常に。次。 – Strawberry
リンゴとオレンジを混ぜています。 ['htmlspecialchars()'](http://php.net/manual/en/function.htmlspecialchars.php)は入力とは関係ありません。正しいHTML出力を生成するために使用されます。 MySQLと準備された文は、入力、出力、または 'htmlspecialchars()'とは何ら関係しません。準備された 'SELECT'文が、文字列を結合することによって構築されたクエリ(文字列がどこに由来していても)よりも優れている理由はたくさんあります。 [SQLインジェクション](https://en.wikipedia.org/wiki/SQL_injection)を避けることは、その1つ(そしておそらく最も重要です)です。 – axiac