[PHP-users 23699] SQL文字のエスケープ

[Atsushi]

こんにちは。

ユーザーが入力した文字をSQLクエリに使用する場合のエスケープ処理について
お聞きします。

MySQLを使用している場合は、mysql_escape_stringという関数が使えますし、
PEARを使用している場合はquoteを使用すれば、エスケープ処理は簡単にできる
ので、今までこれらを使っていましたが、今、ODBCでPEARを使用せずにデータベー
スに接続するプログラムを作成していて、汎用的に使えるエスケープ用の関数が
PHPに無いことに気付きました。みなさんはこのような時は処理を自作している
のでしょうか？もし自作するとしたら具体的にはどの文字を処理すればデータベー
スにとって安全な文字列になりますか？思い付くのはシングルクオートやセミコ
ロンなどですが他にもたくさんあるのではないかと思います。


Atsushi Higuchi<fuzuki ＠ 104.net>