回答率: 85.34%

質問するログイン新規登録

トップ Bottleに関する質問 SQLインジェクション対策をするためには？

編集履歴

回答編集履歴

3

修正

2017/06/20 11:45

投稿

スコア116944

test CHANGED Viewed

@@ -1,9 +1,7 @@
-mysqlをご利用ならPDOでプレースホルダとしてprepareで処理します
+mysqlをご利用なプレースホルダとしてprepareで処理します
 どうしても気になるなら受け取ったパスをサニタイズする手もありますが
 処理的にはあまり意味がありません。
-なおprepareのエミュレーションはしないほうがいいとされています。

2

ソース削除

2017/06/20 11:45

投稿

スコア116944

test CHANGED Viewed

@@ -7,45 +7,3 @@
 なおprepareのエミュレーションはしないほうがいいとされています。
-```PHP
-$userStr=filter_input(INPUT_POST,'user');
-$passStr=filter_input(INPUT_POST,'pass');
-try{
-  $dsn = 'mysql:host=localhost; dbname=test;charset=utf8;';
-  $pdo = new PDO($dsn, $user,$password);
-  $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
-  $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
-  $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
-  $sql="SELECT * FROM tbl WHERE user=? AND password=? LIMIT 1";
-  $stmt = $pdo->prepare($sql);
-  $stmt->execute([$userStr,$passStr]);
-  $row=$stmt->fetch();
-  print_r($row);
-}catch(PDOException $e){
-  die($e->getMessage());
-}
-```
-mysqliにもprepare処理がありますが、やや煩雑なソースになります

1

調整

2017/06/20 11:45

投稿

スコア116944

test CHANGED Viewed

@@ -10,7 +10,9 @@
 ```PHP
+$userStr=filter_input(INPUT_POST,'user');
-$pass=filter_input(INPUT_POST,'pass');
+$passStr=filter_input(INPUT_POST,'pass');
@@ -26,11 +28,11 @@
   $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
-  $sql="SELECT * FROM tbl password=? limit 1";
+  $sql="SELECT * FROM tbl WHERE user=? AND password=? LIMIT 1";
   $stmt = $pdo->prepare($sql);
-  $stmt->execute([$pass]);
+  $stmt->execute([$userStr,$passStr]);
   $row=$stmt->fetch();