[PHP-users 23699] SQL文字のエスケープ

Atsushi fuzuki @ 104.net
2004年 11月 25日 (木) 00:00:46 JST


こんにちは。

ユーザーが入力した文字をSQLクエリに使用する場合のエスケープ処理について
お聞きします。

MySQLを使用している場合は、mysql_escape_stringという関数が使えますし、
PEARを使用している場合はquoteを使用すれば、エスケープ処理は簡単にできる
ので、今までこれらを使っていましたが、今、ODBCでPEARを使用せずにデータベー
スに接続するプログラムを作成していて、汎用的に使えるエスケープ用の関数が
PHPに無いことに気付きました。みなさんはこのような時は処理を自作している
のでしょうか?もし自作するとしたら具体的にはどの文字を処理すればデータベー
スにとって安全な文字列になりますか?思い付くのはシングルクオートやセミコ
ロンなどですが他にもたくさんあるのではないかと思います。


Atsushi Higuchi<fuzuki @ 104.net>



PHP-users メーリングリストの案内