[PHP-users 11138] Re: フォームの変数をPostgreSQL にINSERT

[@ Edwin]

"Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:

> @ Edwin wrote:
> > "Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:
> >>セキュリティーに関する事なのでコメントします。
> >>下記の書き方ではSQLインジェクションが簡単にできます。
> >
> >
> > Validateしてからクエリーをするとかはダメですか？
>
> 安全性をチェックしてからならOkです。
>
> # ユーザーからの入力値はどのみち全部チェックする必要があります。
>
> >
> >
> >># データを不正に取得、挿入、削除、更新できます。
> >
> >
> > 「挿入」しかできないユーザーにすれば取得や削除や更新等はできなくなると思
いま
> > すけど、他に出てくる問題ありますか？
>
> 挿入しかできないユーザーにおかしなデータを挿入されても
> 大丈夫なら結構です。

確かに、これは問題ですね。

> # そういった話しでした？？
>

結局、

> # ユーザーからの入力値はどのみち全部チェックする必要があります。

それでＯＫですね。

なるほど。ありがとうございます。

- E