SQLインジェクション攻撃対策

例えばフォームなどから条件を入力してもらってSQL文を作成する時に、SQLインジェクション攻撃などを防ぐ為にパラメータをエスケープしておく必要がある。 ここで、PHPではエスケープ用の関数が用意されている。

mysql_real_escape_string string mysql_real_escape_string(string unescaped_string [, resource link_identifier]) 現在の接続の文字セットで unescaped_string の特殊文字をエスケープし、 mysql_query() で安全に利用できる形式に変換する。バイナリデータを 挿入しようとしている場合、必ずこの関数を利用しなければならない。

引数: unescaped_string エスケープされる文字列。 link_identifier MySQLリンクID 返り値: 成功した場合にエスケープ後の文字列、失敗した場合に FALSE を返す。

リンクテキスト