2008年2月 1日

[PHP-users 33221]SQLインジェクションの可能性

新垣と申します。
お世話になっております。

早速なのですが、以下のような場合でSQLインジェクションの可能性があるのかよくわからなかったので
質問させてください。

$val=htmlspecialchars($_POST['input'],ENT_QUOTES,'SJIS');

$query = "SELECT * FROM table1 WHERE userID= '$val'";

このような場合で$_POST['input']にいかなる入力値があれど
htmlspecialcharsでクオートは実態参照されるので
問題ないと思うのですが、根本的に間違ってますでしょうか?

こういった場合危険などありましたら
ご教授ください。


---------------------------------------------
新垣友孝
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3

投稿者 xml-rpc : 2008年2月 1日 20:35
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69332
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。