[PHP-users 14852]Re: GETのセキュリティ
Tomoko Ohta
tomoko @ atc.ntt-at.co.jp
2003年 4月 24日 (木) 11:03:11 JST
太田です、こんにちは。
> http://www.ravi.ne.jp/~shige/?DirectSqlCommandInjection
>
> においてあります。
>
> 疑問点や、不備、もっと良い資料へのポインタなどを突っ込んでいただければと
> 思いますが、SQL インジェクションというのは、何も PHP に限った
> 問題ではないので、もっと偉い人の資料をあたった方が良いかもしれません。
>
> たとえば:
> http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
あまり詳しく無いのでなんなんですが、ipaの
「SQL組み立て時の引数チェック」最後の方に
「バインドメカニズムを活用しよう」というのがありますよね。
PHPだったら、Pear:DBを使えば、prepare()とexecute()が
使えるので、そっちを使うというのはどうでしょう?
PHP-users メーリングリストの案内