POSTデータのシリアル化について - PHPプロ!Q&A掲示板
キーワード / SQLインジェクション シリアライズ ポストデータ
初めまして、numnumと申します。
オブジェクト指向でコーディングをしていて少し疑問に思いましたので、投稿させて頂きました。
ご存知の方いれば、ご教授頂けると幸いです。
上記のようにPOSTデータをシリアライズしてDB(当方はMySQLを使用しています)に保存した場合、
SQLインジェクションの可能性はありますでしょうか?
シリアル化することで、生の文字が見えてしまっているので少し不安に思いました。
オブジェクト指向でコーディングをしていて少し疑問に思いましたので、投稿させて頂きました。
ご存知の方いれば、ご教授頂けると幸いです。
- $obj = (object)$_POST;
- $serObj = serialize ($obj);
上記のようにPOSTデータをシリアライズしてDB(当方はMySQLを使用しています)に保存した場合、
SQLインジェクションの可能性はありますでしょうか?
シリアル化することで、生の文字が見えてしまっているので少し不安に思いました。
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
回答一覧
A01
answerersignal [12月16日 23:42]
あります
シリアライズしたとかしてないに関わらず、
ユーザの入力を使ったクエリを作成する際は
http://www.phppro.jp/phpmanual/php/function.mysql-real-escape-string.html
を使いましょう。
シリアライズしたとかしてないに関わらず、
ユーザの入力を使ったクエリを作成する際は
http://www.phppro.jp/phpmanual/php/function.mysql-real-escape-string.html
を使いましょう。
A01-1
replyernumnum [12月17日 09:54]
ご回答ありがとうございます^^
やはりデータの扱いはシリアル化されても一緒なのですね。
攻撃の手口をもっと把握しておきたいと思います。
ありがとうございました!
やはりデータの扱いはシリアル化されても一緒なのですね。
攻撃の手口をもっと把握しておきたいと思います。
ありがとうございました!
ページのトップへ
今回のような実践的な経験がエンジニアのキャリアに繋がると思います。是非サービスを成功させて下さい!