下記、sqlで無事にsqlインジェクションに対して対策できているかどうか?
sql
1UPDATE order_items 2SET quantity=quantity+:new_quantity 3WHERE order_id=:order_id
既にある値に対して加算する場合
上記の様な、プレースホルダーの使い方で問題ないですよね?
※追記
mysqlの
バーション5.7.23
質問作って投稿して回答待ってる間に動かせばわかることでは。 ひとまずDBの種類とバージョンは追記いただきたいところです。
ためしてみればいいんじゃね
あと該当のPHPソースもご提示ください。
あとプレースホルダにする前に何かしら固定値でSQL作って試して想定通りの動作になることを確認していますか?
元に戻せるようデータベースのバックアップを行ってから実行すれば、自ずと結果が分かるのですけど、動かす環境がないのでしょうか?
DBの種類はmysql, バージョンは調べて後で追記しておきます。質問の文章が悪かったです。想定通りに動きはしていますが、sqlインジェクション的にどうかなと思い質問させて頂きました。
セキュリティの観点でどうかなと思ったのですが、コメント頂いているように、自身で調べれば分かることなので、調べてみたいと思います。調べて分かり次第、自己解決といたします。
前提、背景は具体的に書かないと「確認のため」だけでは質問者さん以外誰も知りませんよ。
失礼いたしました。質問の配慮が足りませんでした。
回答1件
あなたの回答
tips
プレビュー