PHPでのSQLインジェクション対策

SQLインジェクション対策のためには、フォームなどを通じて受け取ったデータに含まれる特殊文字を、無効な形式に変換するエスケープ処理を行う必要があります。
PHPでは、PDOのプリペアドステートメントを利用することでエスケープ処理を施すことができます。

プリペアドステートメントは、クエリの実行準備を済ませたSQL文ですが、同時に入力値のエスケープ処理も行ってくれます。

以下に記述例を示します。

この例では、prepare()の中に記述している1番目の?に$minAgeが、2番目の?に$maxAgeが対応します。
これらの入力値を格納した変数$minAgeと$maxAgeに対してエスケープ処理を行います。

オンライン講座

Webの基礎マスター講座ページへのリンク


連載講座:WordPressで作る簡単Webサイトページへのリンク

提供しているサービス

WordPressサイト制作出張講座ページへのリンク

WordPress を利用した Webサイト制作の方法を、
あなたのオフィスにうかがいご説明いたします。
料金:¥28,000

サービス詳細ページ >>

申し込みフォーム >>


Webサイト1日公開サービスページへのリンク

一刻も早く Webサイトが必要な方のために、
一緒に作業し1日で公開までもっていきます。
料金:¥28,000

サービス詳細ページ >>

申し込みフォーム >>

特集記事

  • jQuery Mobile Image

    jQuery Mobile を基本から覚える
    スマホサイト制作に最適なフレームワークの利用方法を解説。DEMOページ・サンプルコードで動作を確認できます。

スポンサーリンク

ページの先頭へ