2008年2月 4日

[PHP-users 33235] Re:SQLインジェクションの可能性

遅くなりました。
皆様貴重なご意見ありがとうございます。

田中様 - ありがとうございます
>mysql_real_escape_string を使えばなんでもOKではダメで、
>POST入力値をHTMLエンコードした上で、PHPのROW文字種に変換し、受け入れ
>可能かチェックをします。
>日本語ぽいバイナリだったらチェックしない、これ自体インジェクションに

>つながります。
mysql_real_escape_strinに任せるのも危ういのですね
入力文字の適正なチェックをですね・・

konnobell様 - ありがとうございます
>対策が確立してるんだし、一番確実と言われる方法が普通に使えるんだから、
>問題がないかの検討が必要な別のやり方使うのはやめましょうよ。。
やはり、セオリーを外すにはそれなりに深く知識がないとだめですね・・


成田 実様 - ありがとうございます
> SQLServerでncharやnvarchar型を使用している場合、
> 前述したPDO関数では抽出した後に文字コード変換が必要になってしまいます。

> 今回は、WindowsのCOMからADODBを使用する方法で
> なんとか解決しましたので、今後のデータベース拡張を考えるなら
> PDO関数ではなくCOMを使用したADODBをお勧めします。
探ってみようと思いますです。

---------------------------------------------
新垣友孝
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3

投稿者 xml-rpc : 2008年2月 4日 14:47
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69437
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。