1
私はリプライチケットシステムを作成中です。 mysqli_real_escape_string
を使用しているので、返信テキストにバックスラッシュが追加されています。私は準備文とbind_param
を使用しているので、mysqliエスケープ文字列を削除しても安全ですか?またはそれはSQLインジェクションのためにそれを開きますか?ありがとう!!プリペアドステートメントとSQLインジェクション
私はリプライチケットシステムを作成中です。 mysqli_real_escape_string
を使用しているので、返信テキストにバックスラッシュが追加されています。私は準備文とbind_param
を使用しているので、mysqliエスケープ文字列を削除しても安全ですか?またはそれはSQLインジェクションのためにそれを開きますか?ありがとう!!プリペアドステートメントとSQLインジェクション
シンプルな答えは、ノー。 SQLインジェクションには、クエリの一部の値ではなくSQLコントロール自体の一部として使用される文字列の入力が含まれます。クエリをパラメータ化することによって、* _escape_string呼び出しで保護されたケースをカバーし、より安全です。
申し訳ありませんが、それが適用されるかどうかわかりませんでした、私は見てみましょう!ありがとうございました! – Callahan
準備されたステートメントを(適切に)使用している場合は、エスケープしないでください。これは基本的にデータを二重にエスケープします。 –
私の次の質問は、エスケープされた文字を使わずにウェブページにどのように表示するのですか? – Callahan