addslashesは使っていい？使っちゃダメ？PHPプロ！Q&A掲示板

Re:addslashesは使っていい？使っちゃダメ？

>はじめまして。yoshikoと申します。
>自分はSQLに入れる文字列をエスケープする際はaddslashes関数を使用し
>ています。しかし、addslashes関数はSQLインジェクション対策には万全
>ではないので使ってはいけないという話を聞いたことがあります。
>ネット上で調べてみたのですが、使ってもいいと言っている所と使っては
>いけないといっている所があり混乱しています。
>
>そこで、みなさんにお聞きしたいのですが、結局addslashesは使っても
>いいのでしょうか？よくないのでしょうか？
確かにその通りだと思います。
http://ns1.php.gr.jp/pipermail/php-users/2001-August/001641.html
の話だとおもいますが。
間違っていたらすみません。

>使用するデータベースによっても違ってくるのかもしれませんが、mysql、
>postgres,oracleあたりではどうなのでしょうか？
>理由も一緒に教えていただければと思います。宜しくお願いします。
自分はプリペアードステートメントを使ったりして、できるだけ自前で処理する
事は避けています。
mysql_real_escape_stringとかpg_escape_stringとかそんな関数もあるので
そちらも検討してみてはいかがでしょうか。

Re[2]:

ご返答ありがとうございます。
上記のURLを読むと独自関数を作成してまでaddslashesを使い続ける意味はないかな、
という気がしてきました。特にaddslashesに思い入れがあるわけでもないのですが、
理由がわからないまま別のやり方に変えるのはいやだったので質問してみました。
今後はプリペアドステートメントを使用したコーディングに切り替えてみようかと思います。
ありがとうございました。

Re:addslashesは使っていい？使っちゃダメ？

初めまして。ito_yuと申します。

http://blog.ohgaki.net/index.php/yohgaki/2006/02/13/addslashesa_la_a_a_ua_sa_pa_fa_a_bc_a_ma

結論は「使ってはいけない」だと思います

たとえばPEAR::DBであればDB::quote()という関数があり、内部では各DBMSに合わせたエスケープ処理をしています。

Re[2]:

ご返答ありがとうございます。
どうやらaddslahesは使ってはいけないもののようですね。
文字コードが絡む話になると複雑でついていけなくなってしまいがちですがもう少し
勉強してみようとおもいます。
>たとえばPEAR::DBであればDB::quote()という関数があり、内部では各DBMSに合わせた
>エスケープ処理をしています。
ありがとうございます。こちらも検討してみます。