PHPアプリのSQLインジェクション対策として、mysql_real_escape_string() 等があるがこれだけでは万全ではないことがあるのでメモ。
例えば以下のSQLではmysql_real_escape_string()を使っているが、脆弱性が存在する。
1 2 | |
mysql_real_escape_string() では上記を防ぐことができない。
クエリ内の変数をシングルクォート(')で囲むことで上記を防ぐことができる。
1 2 | |
PHPアプリのSQLインジェクション対策として、mysql_real_escape_string() 等があるがこれだけでは万全ではないことがあるのでメモ。
例えば以下のSQLではmysql_real_escape_string()を使っているが、脆弱性が存在する。
1 2 | |
mysql_real_escape_string() では上記を防ぐことができない。
クエリ内の変数をシングルクォート(')で囲むことで上記を防ぐことができる。
1 2 | |
