PHP、Postgresql でPEAR::MDB2のpreparedStatementを利用しています。

Question

buagirl

1

1もっと見る

70pt

コンピュータウェブ制作

PHP、Postgresql でPEAR::MDB2のpreparedStatementを利用しています。

条件式の一部のカラムのについて「カラムA=?」ではなく「カラムA='値'」と直接値を指定したいのですが、このようなpreparedStatementの機能を使わない書き方をしてpreparedStatementと同等の効果を得たいとき、該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

回答の条件

1人5回まで

登録：2009/12/14 02:45:28
終了：2009/12/14 22:37:22

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

No.2

azuco1975613162009/12/14 11:55:31

｜｜該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

リクエスト送信済

回答リクエストを送信したユーザーはいません

azumi1975 · Accepted Answer · 2009-12-14T09:58:29+09:00

＞preparedStatementと同等の効果を得たいとき、

同等の効果は得られません。通常、検索速度は遅くなります。

＞該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

十分です。

azumi1975 · Accepted Answer · 2009-12-14T09:58:29+09:00

＞preparedStatementと同等の効果を得たいとき、

同等の効果は得られません。通常、検索速度は遅くなります。

＞該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

十分です。

PHP、Postgresql でPEAR::MDB2のpreparedStatementを利用しています。

ベストアンサー

azumi1975337162009/12/14 09:58:29

その他の回答（1件）

azumi1975337162009/12/14 09:58:29ここでベストアンサー

azuco1975613162009/12/14 11:55:31

コメント（0件)

この質問への反応（ブックマークコメント）