[PHP-users 32368] Re: ＰＨＰを使ってのPostgresqlについて

2007年 7月 3日 (火) 19:34:35 JST

こんにちは。石田@苫小牧市と申します。

07/07/03 に PAD<pad-traku ＠ pa-d.com> さんは書きました:
> 楽です。
>
> 大垣さん、
> ありがとうございます。
>
>
> > 本題とは関係ありませんが、
> >
> > PAD さんは書きました:
> >> 楽です。
> >> いつも勉強させてもらっています。
> >> ＰＨＰを使ってのPostgreSQL からのデータ取得についてです。
> >>
> >> コードはＰＨＰで書いていますが、PostgreSQL からのデータ取得
> >> ですので、場違いかもしれません。
> >>
> >> ヒアドキュメントを使い、以下のようにして
> >> データを検索し1ページの表示個数を２０個にしています。
> >>
> >>
> >> $hoge = $_REQUEST['hoge'];
> >> $whereSQL = "WHERE abc LIKE '%$hoge%'";
> >
> > 2つエスケープ漏れがあります。
> >
> > まず、クエリに渡す全ての変数はpg_escape_string(またはpg_escape_bytea）で
> > エスケープしなければなりません。PEARのescapeメソッドを使えば良いです。
> > # 今PEARのコードを見るとescapeの問題を指摘してから1年以上経ってから
> > # 直しているようですね。CVSタグを見るとRELEASE 1.7.x以上なら問題ない
> > # コードになっています。
> >
> > 次にhogeの中に'%'が含まれている場合が考慮されていません。
> >
>
>  $data = addslashes($data);
>  $data = htmlspecialchars($data);
>
> 上記　$hoge については、割愛しましたが　記載：$data の方法にてエスケープいたしておりますが、
> 不足でしょうか。
> そのあたり、ご教示下さい。
>

htmlspecialchars()してしまっては、まともに検索できないの
ではないでしょうか。

アンダースコアもエスケープする必要があるので、
こんな感じだと思います。

$data = mb_ereg_replace('[%_]', '\\\\0', $data);
$data = pg_escape_string($data);

SJIS等の、2バイト目に0x7f以下がくる文字コードを使って
いなければ、

$data = str_replace('%', '\%', $data);
$data = str_replace('_', '\_', $data);
$data = pg_escape_string($data);

でもよさそうです。

-- 
ISHIDA Akio <iakio ＠ mono-space.net/ishida ＠ cycleof5th.com>