[PHP-users 11111] Re: フォームの変数をPostgreSQL にINSERT

[@ Edwin]

こんにちは。

"Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:

> 大垣です。
>
> セキュリティーに関する事なのでコメントします。
> 下記の書き方ではSQLインジェクションが簡単にできます。

Validateしてからクエリーをするとかはダメですか？

> # データを不正に取得、挿入、削除、更新できます。

「挿入」しかできないユーザーにすれば取得や削除や更新等はできなくなると思いま
すけど、他に出てくる問題ありますか？

- E

> > か〜、なんてこった。
> > 徹夜で悩んだことがこれですか？
> > どうして気付かなかったのでしょうか。
> >>
> >>---- Snip Snip ----
> >>
> >>>$sql_insert = "insert into test (name) values (' ".$_POST['$name']."
> >>
> >>---- Snip Snip ----
> >>$sql_insert = "insert into test (name) values (' ".$_POST['name']."')";
> >>では、いかがでしょうか。
>

...[snip]...