人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
PHP、Postgresql でPEAR::MDB2のpreparedStatementを利用しています。
条件式の一部のカラムのについて「カラムA=?」ではなく「カラムA='値'」と直接値を指定したいのですが、このようなpreparedStatementの機能を使わない書き方をしてpreparedStatementと同等の効果を得たいとき、該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか
●質問者: buagirl
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:MDB2 Pear PHP postgreSQL SQLインジェクション
○ 状態 :終了
└ 回答数 : 2/2件
▽最新の回答へ
1 ● azumi1975
●70ポイント ベストアンサー

>preparedStatementと同等の効果を得たいとき、

同等の効果は得られません。通常、検索速度は遅くなります。

>該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

十分です。

2 ● azuco1975
●0ポイント

||該当のカラムの値についてSQLインジェクションの対策のためのエスケープしておけば十分なのでしょうか

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ