「mysql_real_escape_string()」は SQL インジェクションに対してまだ安全ですか?

mysql_real_escape_string() は壊れた関数ですか?

にもかかわらず、SQL インジェクションの脆弱性を軽減する mysql_real_escape_string() の有効性について懸念が提起されています。正しい使い方。懐疑論者は、その欠陥の証拠として時代遅れの記事を挙げています。

mysql_real_escape_string() はまだ利用できますか?

この質問に答えるために、MySQL C API ドキュメントを詳しく調べます。 mysql_real_escape_string():

「接続の文字セットを変更する必要がある場合は、SET NAMES を実行する代わりに mysql_set_character_set() を使用してください。」

コードデモ:

mysql_real_escape_string()

説明:

ドキュメントによると、mysql_set_character_set() は、SET NAMES とは異なり、mysql_real_escape_string() で使用される文字セットに影響します。したがって、PHP アプリケーションのエンコーディングを変更するには、mysql_set_charset() を使用する必要があります。

結論:

mysql_real_escape_string() は完全に壊れているわけではないかもしれませんが、必ず変更する必要があります。 mysql_set_character_set() と組み合わせて使用​​すると、適切な文字セット処理が保証され、潜在的な SQL インジェクションが防止されます。脆弱性。

以上が「mysql_real_escape_string()」は SQL インジェクションに対してまだ安全ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。