読者です 読者をやめる 読者になる 読者になる

初めてのシステムと日記

システムも日記も初めてです。

研修(クエリの特殊文字について)

phpからMySQLにクエリを送信する。続編。


前回のクエリだと、入力データに ' 、 " などの特殊文字がそのまま効いてしまう。

これではクエリの内容によっては、ブラウザ上にパスワードが見えてしまったり、

誤ってDBやサーバーを消してしまう恐れがある。脆弱性があるということ。


なのでクエリに対し、

mysql_real_escape_string(クエリ)

と処理する。


これによって入力データに特殊文字があってもそのまま表示される(エスケープされる)。

phpからクエリを送信するときは、基本的にこの処理をやるべき!