[PHP-users 26017] Re: MacIE5.17 の挙動で悩んでおります。
YOSHIMURA Keitaro
ramsy @ ramix.jp
2005年 6月 30日 (木) 12:01:47 JST
らむじぃです。
> //(sampleとなっている所を書き換えて使用)
> if($sample != ""){
> $where .= $where ? "and sample~'$sample' ":"where sample~'$sample' ";
> }
予想通り、SQL injection成立している可能性が高いですね。
プレースホルダを使いましょう。PEAR::DBではなく直接叩いてるようですが、せっ
かくPostgreSQL自身がプレースホルダ機能をもって居るんですから。
# プレースホルダはSQL injection対策のために存在する訳ではありませんが、
# 簡単かつ現実的なアプローチの一つですから。
> なお、HTMLからこのPHPを呼び出す際には、以下のようなタグを書いています。
> <INPUT type="button" value="全データ表示"
> onclick="location.href='./kensaku.php'">
>
> もちろん、このHTMLもEUC-JPで書いてあり、呼び出されるPHPもEUC-JPで書いてあ
> ります。
>
> これで何かわかるでしょうか・・・。
ですから、生成された入力フォーム側のhtmlを確認しないと直接の原因がわから
ないですって。
<form>〜</form>のだけでいいので出しませんか。
--
<|> YOSHIMURA Keitaro/ramsy
<|> ramsy @ ramix.jp
<|> http://ramix.jp/~ramsy/
PHP-users メーリングリストの案内