[PHP-users 10403] ファイルのデータを SQL に登録する際の注意事項

Osamu Shigematsu php-users@php.gr.jp
Fri, 27 Sep 2002 20:09:46 +0900


重松です。こんにちは。

現在データが記録されたテキストファイルをアップロードして、
それを PostgreSQL に登録するスクリプトを開発しています。

このテキストファイル、というのが perl スクリプトが吐き出す
固定長のデータを単にカンマで連結した行を記録したファイルです。

ただし、スクリプトのできがよろしくないので、
郵便番号などを適当に入れてもノーチェックで、
自由に入力可能な部分に関しては、
SQL 文やいわゆる半角かなが埋まっている危険性もあります。

このような怪しいデータを INSERT する際に、注意する点は、
そういうデータは  addsalashes() するだけでよいのでしょうか?
# magical_quotes_gpc は fgets() には関係ないですよね?

また、通常 CHAR(2) のように 2 バイト確保している場合、
クオートされたら見た目は 4 バイトになりますが、
データベース的には、2 バイト用意しておけば、
それで問題ないのでしょうか?

本当は、その CGI を直すべきなのでしょうが、
それは担当でないので、できないのです。

アドバイスをいただければ幸いです。

環境:
VineLinux 2.5 ftp 版 (Intel Pentium III)
php 4.2.3
PostgreSQL 7.2.1

-- 
Osamu Shigematsu