SQL文を打つとき、 SQL文のどこかに、入力値を変数として、入れているなら、 例えば、post送信で、テーブル名を取得している場合など、 $table-name = $_POST[$table]; $sql = “SELECT * FROM $table-name”; 入力値に、予期せぬSQL文などが入った場合、それが実行され、 最悪の場合、カラムやテーブルのデータが消え…Continue reading SQLインジェクション防止 PHPのプレースホルダー プリペアードステートメント
SQL文を打つとき、 SQL文のどこかに、入力値を変数として、入れているなら、 例えば、post送信で、テーブル名を取得している場合など、 $table-name = $_POST[$table]; $sql = “SELECT * FROM $table-name”; 入力値に、予期せぬSQL文などが入った場合、それが実行され、 最悪の場合、カラムやテーブルのデータが消え…Continue reading SQLインジェクション防止 PHPのプレースホルダー プリペアードステートメント