回答編集履歴
1
test
CHANGED
|
@@ -1,21 +1,10 @@
|
|
|
1
|
-
|
|
1
|
+
これはSQLインジェクション攻撃と言うものです。
|
|
2
|
+
この場合はよろしくありませんので対策方法を書きます。
|
|
3
|
+
対策方法としては特殊文字のエスケープ(サニタイジング)をします。
|
|
4
|
+
今回のように OR 'A' = 'A
|
|
5
|
+
というパラメータに対してエスケープするには
|
|
6
|
+
mysqli_real_escape_stringを使うのが良いです。
|
|
7
|
+
http://php.net/manual/ja/mysqli.real-escape-string.php
|
|
8
|
+
以下のサイトが参考になるかと思います。
|
|
9
|
+
http://www.php-mysql-linux.com/php/php-function/mysqli_real_escape_string/
|
|
2
10
|
|
|
3
|
-
これに対する対策方法を書きますね。
|
|
4
|
-
|
|
5
|
-
|
|
6
|
-
|
|
7
|
-
**対策方法としては特殊文字のエスケープ(サニタイジング)をします。**
|
|
8
|
-
|
|
9
|
-
今回のように __OR 'A' = 'A__
|
|
10
|
-
|
|
11
|
-
というパラメータに対してエスケープするには
|
|
12
|
-
|
|
13
|
-
__mysqli_real_escape_string__を使うのが良いです。
|
|
14
|
-
|
|
15
|
-
([http://php.net/manual/ja/mysqli.real-escape-string.php](http://php.net/manual/ja/mysqli.real-escape-string.php))
|
|
16
|
-
|
|
17
|
-
以下のサイトが参考になるかと思います。
|
|
18
|
-
|
|
19
|
-
([http://www.php-mysql-linux.com/php/php-function/mysqli_real_escape_string/](http://www.php-mysql-linux.com/php/php-function/mysqli_real_escape_string/))
|
|
20
|
-
|
|
21
|
-
|