[PHP-users 33235] Re: SQLインジェクションの可能性

[新垣友孝]

遅くなりました。
皆様貴重なご意見ありがとうございます。

田中様　-　ありがとうございます
>mysql_real_escape_string を使えばなんでもOKではダメで、
>POST入力値をHTMLエンコードした上で、PHPのROW文字種に変換し、受け入れ
>可能かチェックをします。
>日本語ぽいバイナリだったらチェックしない、これ自体インジェクションに
>つながります。
mysql_real_escape_strinに任せるのも危ういのですね
入力文字の適正なチェックをですね・・

konnobell様　-　ありがとうございます
>対策が確立してるんだし、一番確実と言われる方法が普通に使えるんだから、
>問題がないかの検討が必要な別のやり方使うのはやめましょうよ。。
やはり、セオリーを外すにはそれなりに深く知識がないとだめですね・・


成田　実様　-　ありがとうございます
> SQLServerでncharやnvarchar型を使用している場合、
> 前述したPDO関数では抽出した後に文字コード変換が必要になってしまいます。

> 今回は、WindowsのCOMからADODBを使用する方法で
> なんとか解決しましたので、今後のデータベース拡張を考えるなら
> PDO関数ではなくCOMを使用したADODBをお勧めします。
探ってみようと思いますです。



---------------------------------------------
新垣友孝