addslashesは使っていい?使っちゃダメ? - PHPプロ!Q&A掲示板
キーワード / addslashes SQLインジェクション
自分はSQLに入れる文字列をエスケープする際はaddslashes関数を使用し
ています。しかし、addslashes関数はSQLインジェクション対策には万全
ではないので使ってはいけないという話を聞いたことがあります。
ネット上で調べてみたのですが、使ってもいいと言っている所と使っては
いけないといっている所があり混乱しています。
そこで、みなさんにお聞きしたいのですが、結局addslashesは使っても
いいのでしょうか?よくないのでしょうか?
使用するデータベースによっても違ってくるのかもしれませんが、mysql、
postgres,oracleあたりではどうなのでしょうか?
理由も一緒に教えていただければと思います。宜しくお願いします。
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
A01turifromvip>はじめまして。yoshikoと申します。
>自分はS
回答一覧
A01
answererturifromvip [7月6日 23:54]
>自分はSQLに入れる文字列をエスケープする際はaddslashes関数を使用し
>ています。しかし、addslashes関数はSQLインジェクション対策には万全
>ではないので使ってはいけないという話を聞いたことがあります。
>ネット上で調べてみたのですが、使ってもいいと言っている所と使っては
>いけないといっている所があり混乱しています。
>
>そこで、みなさんにお聞きしたいのですが、結局addslashesは使っても
>いいのでしょうか?よくないのでしょうか?
確かにその通りだと思います。
http://ns1.php.gr.jp/pipermail/php-users/2001-August/001641.html
の話だとおもいますが。
間違っていたらすみません。
>使用するデータベースによっても違ってくるのかもしれませんが、mysql、
>postgres,oracleあたりではどうなのでしょうか?
>理由も一緒に教えていただければと思います。宜しくお願いします。
自分はプリペアードステートメントを使ったりして、できるだけ自前で処理する
事は避けています。
mysql_real_escape_stringとかpg_escape_stringとかそんな関数もあるので
そちらも検討してみてはいかがでしょうか。
A01-1
replyeryoshiko [7月8日 19:26]
上記のURLを読むと独自関数を作成してまでaddslashesを使い続ける意味はないかな、
という気がしてきました。特にaddslashesに思い入れがあるわけでもないのですが、
理由がわからないまま別のやり方に変えるのはいやだったので質問してみました。
今後はプリペアドステートメントを使用したコーディングに切り替えてみようかと思います。
ありがとうございました。
A02
answererito_yu [7月7日 17:03]
http://blog.ohgaki.net/index.php/yohgaki/2006/02/13/addslashesa_la_a_a_ua_sa_pa_fa_a_bc_a_ma
結論は「使ってはいけない」だと思います
たとえばPEAR::DBであればDB::quote()という関数があり、内部では各DBMSに合わせたエスケープ処理をしています。
A02-1
replyeryoshiko [7月8日 19:32]
どうやらaddslahesは使ってはいけないもののようですね。
文字コードが絡む話になると複雑でついていけなくなってしまいがちですがもう少し
勉強してみようとおもいます。
>たとえばPEAR::DBであればDB::quote()という関数があり、内部では各DBMSに合わせた
>エスケープ処理をしています。
ありがとうございます。こちらも検討してみます。
ページのトップへ
再帰関数は最初の内は混乱しますが、非常に上手く使える場面もいずれ出てきます。これを機会に学んでいけるといいですね。