重松です。こんにちは。 > そこでお聞きしたいのですが、みなさんはSQL文を扱うときには > 必ずaddslashes()関数を利用されているのでしょうか? キャストを使ったり、正規表現を使ったりして、ちゃんと確認します。 そのあとで、必要なものだけ、addslashes() を使って、 SQL 文を組み立てます。 あと、addslashes は LIKE 句で使う % をエスケープしてくれなかったりして、 万能ではないです。 手前味噌ですが、SQL インジェクションについて、 http://www.ravi.ne.jp/~shige/?DirectSqlCommandInjection に整理してあります。 -- Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>