SQLインジェクションについて ネタ元:$_GETを安易に受け入れちゃダメ! 前に書いたエントリー(re:キケンなSQLインジェクション)が誤解を与えてしまったようですので、もう少し補足しておきます。 まず、結論から書くと、 mysql_queryの場合はチェックが要らないって言ってるわけではないです。 そして、 mysql_real_escape_stringを過信してはいけません 様々なSQLインジェクション 複合クエリ $sql="select * from geekDB where id = " . $_GET['id']; $result = pg_query($sql); これは$_GET['id']の値が以下のような場合問題が発生します。 '';DELETE FROM geekDB; テーブルを丸ごと消すことが可能です。 前回のエントリー(re:キケンなSQLインジェクション
![SQLインジェクションについて](https://cdn-ak-scissors.b.st-hatena.com/image/square/a9717624309e36a795026e1b70982163687ccca2/height=288;version=1;width=512/https%3A%2F%2Fblog.webcreativepark.net%2Ficon_200x200.png)