[PHP-users 11111] Re: フォームの変数をPostgreSQL にINSERT
@ Edwin
php-users@php.gr.jp
Sun, 27 Oct 2002 22:40:16 +0900
こんにちは。
"Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:
> 大垣です。
>
> セキュリティーに関する事なのでコメントします。
> 下記の書き方ではSQLインジェクションが簡単にできます。
Validateしてからクエリーをするとかはダメですか?
> # データを不正に取得、挿入、削除、更新できます。
「挿入」しかできないユーザーにすれば取得や削除や更新等はできなくなると思いま
すけど、他に出てくる問題ありますか?
- E
> > か〜、なんてこった。
> > 徹夜で悩んだことがこれですか?
> > どうして気付かなかったのでしょうか。
> >>
> >>---- Snip Snip ----
> >>
> >>>$sql_insert = "insert into test (name) values (' ".$_POST['$name']."
> >>
> >>---- Snip Snip ----
> >>$sql_insert = "insert into test (name) values (' ".$_POST['name']."')";
> >>では、いかがでしょうか。
>
...[snip]...