via. 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29) データベースのセキュリティについて徳丸浩氏に指摘頂きました。ありがとうございます。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」だ。 : そう、この関数にはバグがある。 こちらでも確認しましたが、第9章(p.280)で用意したSQLインジェクション対策用の関数(dbescape)にバグがあり、SQLインジェクション対策が不十分だと分かりました。 あるいは、SQLiteの使用をあきらめ、MySQLを使ってもよかった。本書のカバーには「MySQL(データベース)」とある(これはCD-ROMに MySQLが添付されているということらしい)。WindowsでもMySQLは動作するし、実務でも利用機会はMyS