addslashes ではなく Prepared Statement でSQL文字列をエスケープ – masha.webTechLogSQL文を作る際、とりあえずどの方法がより強く、より簡易なSQLインジェクション対策なのか調べていたのですが、どうやら addslashes には穴があるらしく、Prepared Statement か、または mysql_real_escape_string() などのデータベース専用エスケープ関数を使用するのがよいらしいとの記事を発見。 →PHP 利用時に Shift_JIS で addslashes() によるエスケープ処理に SQL インジェクション可能な穴 →addslashesによるエスケープ処理は止めましょう →addslashesは使っていい?使っちゃダメ? とりあえず Prepared Statement でやってみようかなと。 調べてメモ。 ・query() メソッドでの例 $sql = “SELECT * FROM (テーブル名) WHERE (カラム名) = ?”;
