[PHP-users 26017] Re: MacIE5.17 の挙動で悩んでおります。

[YOSHIMURA Keitaro]

らむじぃです。

> //（sampleとなっている所を書き換えて使用）
> if($sample != ""){
>   $where .= $where ? "and sample~'$sample' ":"where sample~'$sample' ";
> }
予想通り、SQL injection成立している可能性が高いですね。
プレースホルダを使いましょう。PEAR::DBではなく直接叩いてるようですが、せっ
かくPostgreSQL自身がプレースホルダ機能をもって居るんですから。

# プレースホルダはSQL injection対策のために存在する訳ではありませんが、
# 簡単かつ現実的なアプローチの一つですから。

> なお、HTMLからこのPHPを呼び出す際には、以下のようなタグを書いています。
> <INPUT type="button" value="全データ表示"
> onclick="location.href='./kensaku.php'">
> 
> もちろん、このHTMLもEUC-JPで書いてあり、呼び出されるPHPもEUC-JPで書いてあ
> ります。
> 
> これで何かわかるでしょうか・・・。
ですから、生成された入力フォーム側のhtmlを確認しないと直接の原因がわから
ないですって。
<form>〜</form>のだけでいいので出しませんか。

-- 
<|> YOSHIMURA Keitaro/ramsy
<|> ramsy ＠ ramix.jp
<|> http://ramix.jp/~ramsy/