14人が本棚に入れています
本棚に追加
/133ページ
このコードはデータベースに接続してあるテーブルの中からある条件に一致するデータを取得する、注目してほしいのは「' and '1' = '1'」だ。
これをやられるとテーブル上の全データが取得されてしまう、その為にエスケープが必要になる。
それに代入する値の型を決めるのも有効だ、主に整数型でだけど。
そのセキュリティさえクリア出来ればある程度の安全性は確保される。むしろエスケープ等の対策をしないと危険だよって話なのだが。
最初のコメントを投稿しよう!