Tipsカテゴリー

PHPでのSQLインジェクション対策

SQLインジェクション対策のためには、フォームなどを通じて受け取ったデータに含まれる特殊文字を、無効な形式に変換するエスケープ処理を行う必要があります。
PHPでは、PDOのプリペアドステートメントを利用することでエスケープ処理を施すことができます。

プリペアドステートメントは、クエリの実行準備を済ませたSQL文ですが、同時に入力値のエスケープ処理も行ってくれます。

以下に記述例を示します。

$stmt = $pdo->prepare("SELECT * FROM members WHERE age >= ? AND age<= ?");
$stmt->execute(array($minAge, $maxAge));

1 2	$stmt = $pdo->prepare("SELECT * FROM members WHERE age >= ? AND age<= ?"); $stmt->execute(array($minAge, $maxAge));

この例では、prepare()の中に記述している１番目の?に$minAgeが、２番目の?に$maxAgeが対応します。
これらの入力値を格納した変数$minAgeと$maxAgeに対してエスケープ処理を行います。

WordPress を利用した Webサイト制作の方法を、
あなたのオフィスにうかがいご説明いたします。
料金：¥49,500

一刻も早く Webサイトが必要な方のために、
一緒に作業し１日で公開までもっていきます。
料金：¥49,500

WordPress の基礎から応用まで

Webサイト制作ツールとして圧倒的な人気を誇るWordPress。利用するにあたって必要な知識を体系的にまとめた記事です。
jQuery Mobile を基本から覚える

スマホサイト制作に最適なフレームワークの利用方法を解説。DEMOページ・サンプルコードで動作を確認できます。