[PHP-users 14059] Re: *解決* mysql_fetch_array()のWarning

Osamu Shigematsu php-users@php.gr.jp
Tue, 18 Mar 2003 16:00:58 +0900


重松です。こんにちは。

> そこでお聞きしたいのですが、みなさんはSQL文を扱うときには
> 必ずaddslashes()関数を利用されているのでしょうか?

キャストを使ったり、正規表現を使ったりして、ちゃんと確認します。
そのあとで、必要なものだけ、addslashes() を使って、
SQL 文を組み立てます。

あと、addslashes は LIKE 句で使う % をエスケープしてくれなかったりして、
万能ではないです。

手前味噌ですが、SQL インジェクションについて、

http://www.ravi.ne.jp/~shige/?DirectSqlCommandInjection

に整理してあります。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>