1
私はリプライチケットシステムを作成中です。 mysqli_real_escape_stringを使用しているので、返信テキストにバックスラッシュが追加されています。私は準備文とbind_paramを使用しているので、mysqliエスケープ文字列を削除しても安全ですか?またはそれはSQLインジェクションのためにそれを開きますか?ありがとう!!プリペアドステートメントとSQLインジェクション
A
答えて
0
シンプルな答えは、ノー。 SQLインジェクションには、クエリの一部の値ではなくSQLコントロール自体の一部として使用される文字列の入力が含まれます。クエリをパラメータ化することによって、* _escape_string呼び出しで保護されたケースをカバーし、より安全です。
関連する問題
- 1. SQLインジェクションとプリペアドステートメント
- 2. プリペアドステートメントによるSQLインジェクション?
- 3. プリペアドステートメント/ SQLite/C++を使用しないSQLインジェクションの防止
- 4. SqlCeResultSetとSQLインジェクション
- 5. HibernateとSQLインジェクション
- 6. Doctrine2 FindOneByとSQLインジェクション
- 7. Like句とSQLインジェクション
- 8. SQLインジェクションとWebログファイル
- 9. ペンテストブラインドSQLインジェクションとビューステートエラー
- 10. パラメータとSQLインジェクションasp.net
- 11. SQLインジェクション
- 12. Go SQLプリペアドステートメントのスコープ
- 13. Sqlインジェクション攻撃とサブソニック
- 14. 動的WHERE句とSQLインジェクション
- 15. 防止SQLインジェクションとのSqlDataAdapter
- 16. 停止SQLインジェクション
- 17. SQLインジェクション(java)
- 18. EJB3 SQLインジェクション
- 19. フォームハック/ XSS/SQLインジェクション
- 20. SQLインジェクション? CHAR(45,120,49,45,81,45)
- 21. C#SQLインジェクション
- 22. SQLAlchemy + SQLインジェクション
- 23. コメントフィールドにSQLインジェクション
- 24. MSAccessをSQLインジェクション
- 25. Entity Framework + SQLインジェクション
- 26. SQLインジェクションcshtml
- 27. SQL Server 2012のSQLインジェクション
- 28. SQL照合クエリーのSQLインジェクション
- 29. INSERTでのSQLインジェクション
- 30. PHP AdodbアクティブレコードSQLインジェクション
申し訳ありませんが、それが適用されるかどうかわかりませんでした、私は見てみましょう!ありがとうございました! – Callahan
準備されたステートメントを(適切に)使用している場合は、エスケープしないでください。これは基本的にデータを二重にエスケープします。 –
私の次の質問は、エスケープされた文字を使わずにウェブページにどのように表示するのですか? – Callahan