2007.03.22 SQLインジェクション対策~PHP(Perl)+PostgreSQL+JavaScript=Ajax~ カテゴリ:PHP 今日も引き続き開発を行なっていたのですが、データベース絡みの開発で気をつけないといけないのがSQLインジェクションです。 簡単に説明すると、入力フォームにSQLを書かれて、データベースをいじられてしまう事。(だと思ってます POSTやGETの値を信じてはいけないというのは、そんな事が関係しているのです。 で、SQLインジェクションを防ぐ為には特殊文字をエスケープしてあげる必要があるのです。PHPにはSQLのエスケープ関数があり、以前よく使われていたのが 「addslashes()」 なのですが、何でも今では推奨されていないとか(不具合があるとかないとか PostgreSQLを使用している場合に推奨されているエスケープ関数は 「pg_escape_s