新垣と申します。 お世話になっております。 早速なのですが、以下のような場合でSQLインジェクションの可能性があるのかよくわからなかったので 質問させてください。 $val=htmlspecialchars($_POST['input'],ENT_QUOTES,'SJIS'); $query = "SELECT * FROM table1 WHERE userID= '$val'"; このような場合で$_POST['input']にいかなる入力値があれど htmlspecialcharsでクオートは実態参照されるので 問題ないと思うのですが、根本的に間違ってますでしょうか? こういった場合危険などありましたら ご教授ください。 --------------------------------------------- 新垣友孝