PHP、Postgresql でPEAR::MDB2のpreparedStatementを利用しています。

条件式の一部のカラムのについて「カラムA=?」ではなく「カラムA='値'」と直接値を指定したいのですが、このようなpreparedStatementの機能を使わない書き方をしてpreparedStatementと同等の効果を得たいとき、該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

回答の条件
  • 1人5回まで
  • 登録:2009/12/14 02:45:28
  • 終了:2009/12/14 22:37:22

ベストアンサー

id:azumi1975 No.1

azumi1975回答回数337ベストアンサー獲得回数162009/12/14 09:58:29

ポイント70pt

>preparedStatementと同等の効果を得たいとき、

同等の効果は得られません。通常、検索速度は遅くなります。

>該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

十分です。

その他の回答(1件)

id:azumi1975 No.1

azumi1975回答回数337ベストアンサー獲得回数162009/12/14 09:58:29ここでベストアンサー

ポイント70pt

>preparedStatementと同等の効果を得たいとき、

同等の効果は得られません。通常、検索速度は遅くなります。

>該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

十分です。

id:azuco1975 No.2

azuco1975回答回数613ベストアンサー獲得回数162009/12/14 11:55:31

||該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません