[PHP-users 14852]Re: GETのセキュリティ

[Tomoko Ohta]

太田です、こんにちは。

>  http://www.ravi.ne.jp/~shige/?DirectSqlCommandInjection
>
> においてあります。
>
> 疑問点や、不備、もっと良い資料へのポインタなどを突っ込んでいただければと
> 思いますが、SQL インジェクションというのは、何も PHP に限った
> 問題ではないので、もっと偉い人の資料をあたった方が良いかもしれません。
>
> たとえば:
>  http://www.ipa.go.jp/security/awareness/vendor/programming/index.html

あまり詳しく無いのでなんなんですが、ipaの
「SQL組み立て時の引数チェック」最後の方に
「バインドメカニズムを活用しよう」というのがありますよね。

PHPだったら、Pear:DBを使えば、prepare()とexecute()が
使えるので、そっちを使うというのはどうでしょう？