第20章 SQL インジェクション - Qiita<?php $sql = "SELECT * FROM Bugs WHERE bug_id = $bug_id"; $stmt = $pdo->query($sql); この時に$bug_idが整数などの意図通りの値なら良いが、 意図していないコードになりえる場合、 場合によってはインジェクションの攻撃対象となる。 アンチパターン : 未検証の入力をコードとして実行する 動的に挿入された文字列がクエリの構文を改変してしまう可能性がある。 ex) 先ほどの$bug_idの中身が1234; DELETE FROM Bugs;だった場合 クエリは以下のようになる
