SQLインジェクション : PHP
SQLインジェクション(SQL Injection)の覚書。
SQLインジェクション(SQL Injection)は外部リクエスト変数に不正なSQL文を混入し悪意あるSQL文を実行する。
対策
‘(シングルクウォート),"(ダブルクウォート),\(バックスラッシュ),ヌルバイトをエスケープしてSQL文の特殊な意味を持たせない。
PHPはaddslashes関数
で、’,",\,ヌルバイトをエスケープする。
※addslashes関数はSQL文の終了を意味する;(セミコロン)はエスケープされない。MySQLなどSQLの複文発行を禁止している場合は良いがPostgreSQLなど複文を許可している場合は注意が必要。
スポンサード リンク
この記事にはまだコメントがついていません。
コメントの投稿
段落や改行は自動挿入です。メールアドレスはサイト上では非表示です。
使用できる HTML タグ: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>