2nd.ccの日記: SQLインジェクション対策
日記 by
2nd.cc
ちょっと前に一世を風靡?したSQLインジェクション対策として、基本的にDBにアクセス動的な項目はURLエンコードした値で行っています。
GET(POST)からの値は、一度URLデコードしてから、再びエンコード(IE/Firefoxで動作違うから)する。
エンコードは手前味噌。 基本的に\w[a-zA-Z_]以外は%00形式にする。
素人考えッスか? ( ̄□ ̄;
ちょっと前に一世を風靡?したSQLインジェクション対策として、基本的にDBにアクセス動的な項目はURLエンコードした値で行っています。
GET(POST)からの値は、一度URLデコードしてから、再びエンコード(IE/Firefoxで動作違うから)する。
エンコードは手前味噌。 基本的に\w[a-zA-Z_]以外は%00形式にする。
素人考えッスか? ( ̄□ ̄;
※ただしPHPを除く -- あるAdmin
SQLインジェクション対策 More ログイン