回答編集履歴
1
answer
CHANGED
|
@@ -1,10 +1,9 @@
|
|
|
1
|
-
|
|
1
|
+
これはSQLインジェクション攻撃と言うものです。
|
|
2
|
-
こ
|
|
2
|
+
この場合はよろしくありませんので対策方法を書きます。
|
|
3
|
-
|
|
4
|
-
|
|
3
|
+
対策方法としては特殊文字のエスケープ(サニタイジング)をします。
|
|
5
|
-
今回のように
|
|
4
|
+
今回のように OR 'A' = 'A
|
|
6
|
-
というパラメータに対してエスケープするには
|
|
5
|
+
というパラメータに対してエスケープするには
|
|
7
|
-
|
|
6
|
+
mysqli_real_escape_stringを使うのが良いです。
|
|
8
|
-
|
|
7
|
+
http://php.net/manual/ja/mysqli.real-escape-string.php
|
|
9
|
-
以下のサイトが参考になるかと思います。
|
|
8
|
+
以下のサイトが参考になるかと思います。
|
|
10
|
-
|
|
9
|
+
http://www.php-mysql-linux.com/php/php-function/mysqli_real_escape_string/
|