PHP+MySQLでエスケープされていない

0 件のコメント

CODE:

//フォームで送られてきたデータでINSSERT文を作成
$sql = "insert into テーブル名(id, pass) values('$id', $pass)" ;

こういう場合は　sprintfを使うべきですね。

CODE:

今は PDOでやるべきなのでこういったエスケープ処理が不要となります。

CODE:

prepare($sql);
$params = [":id"=>$id, ":pass"=>$pass];
$stmt->execute($params);
?>

コメントはまだありません。

ユーザー名 登録日時
irosuke 3ヶ月前
sin_ 4ヶ月前
bbbkt 4ヶ月前
和歌 5ヶ月前
孝一 6ヶ月前
猫ゆっけ 7ヶ月前
inuttisama 7ヶ月前
SakakinTV 9ヶ月前

総合情報
投稿数: 153969
トピック数: 20730
告知トピックの総数: 4
注目トピックの総数: 4
添付ファイルの総数: 1954

1日当りのトピック数: 4
1日当りの投稿数: 29
1日当りのユーザー数: 1
ユーザー当りのトピック数: 7
ユーザー当りの投稿数: 50
トピック当りの投稿数: 7

登録ユーザー数: 3072
最新登録ユーザー irosuke

⇧

⇩