[php] mysqliクエリ構文を無害化する(エスケープ処理)
mysqliクエリ構文を無害化する(エスケープ処理)
mysqliクエリ構文をエスケープ処理するにはmysqli_real_escape_stringを使用する
mysqli_real_escape_string ( mysqli $link , string $escapestr )
//DBアカウント情報の設宁E $host = "host名"; $user = "user名"; $password = 'パスワード'; $database = "DB名"; $mysqli = new mysqli($host, $user, $password, $database) or die("DB connection dis-connected"); $mysqli->set_charset("utf8"); $message = "Let's go"; //コロンを無害化すべし $sql = "INSERT INTO `table名` (`message`) VALUES ('$message'); $sql = mysqli_real_escape_string($mysqli,$sql);
参考:http://php.net/manual/ja/mysqli.real-escape-string.php
*mysql_escape_stringはphp7で廃止されている