SQLインジェクション : PHP
SQLインジェクション(SQL Injection)の覚書。
SQLインジェクション(SQL Injection)は外部リクエスト変数に不正なSQL文を混入し悪意あるSQL文を実行する。
対策
‘(シングルクウォート),"(ダブルクウォート),\(バックスラッシュ),ヌルバイトをエスケープしてSQL文の特殊な意味を持たせない。
PHPはaddslashes関数
で、’,",\,ヌルバイトをエスケープする。
※addslashes関数はSQL文の終了を意味する;(セミコロン)はエスケープされない。MySQLなどSQLの複文発行を禁止している場合は良いがPostgreSQLなど複文を許可している場合は注意が必要。
コメントはまだありません。
コメントの投稿
改行と段落タグは自動で挿入されます。メールアドレスは表示されません。
利用可能な HTML タグ :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite="">
<cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>