[PHP-users 11138] Re: フォームの変数をPostgreSQL にINSERT
@ Edwin
php-users@php.gr.jp
Mon, 28 Oct 2002 23:06:01 +0900
"Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:
> @ Edwin wrote:
> > "Yasuo Ohgaki" <yohgaki@ohgaki.net>さん wrote:
> >>セキュリティーに関する事なのでコメントします。
> >>下記の書き方ではSQLインジェクションが簡単にできます。
> >
> >
> > Validateしてからクエリーをするとかはダメですか?
>
> 安全性をチェックしてからならOkです。
>
> # ユーザーからの入力値はどのみち全部チェックする必要があります。
>
> >
> >
> >># データを不正に取得、挿入、削除、更新できます。
> >
> >
> > 「挿入」しかできないユーザーにすれば取得や削除や更新等はできなくなると思
いま
> > すけど、他に出てくる問題ありますか?
>
> 挿入しかできないユーザーにおかしなデータを挿入されても
> 大丈夫なら結構です。
確かに、これは問題ですね。
> # そういった話しでした??
>
結局、
> # ユーザーからの入力値はどのみち全部チェックする必要があります。
それでOKですね。
なるほど。ありがとうございます。
- E