回答編集履歴
3
edit
test
CHANGED
|
@@ -17,3 +17,5 @@
|
|
|
17
17
|
もう一点
|
|
18
18
|
|
|
19
19
|
- [エラーハンドリング](https://www.php.net/manual/ja/pdo.error-handling.php)していない。
|
|
20
|
+
|
|
21
|
+
→処理が必ず想定通り完了するわけでもないのに「登録完了」を固定で出してるのも実装としては問題あり
|
2
edit
test
CHANGED
|
@@ -11,3 +11,9 @@
|
|
|
11
11
|
- DBにhtmlエスケープした(加工した)値を入れようとしている
|
|
12
12
|
|
|
13
13
|
→htmlエスケープは画面表示時に行うもの(XSS対策)
|
|
14
|
+
|
|
15
|
+
|
|
16
|
+
|
|
17
|
+
もう一点
|
|
18
|
+
|
|
19
|
+
- [エラーハンドリング](https://www.php.net/manual/ja/pdo.error-handling.php)していない。
|
1
edit
test
CHANGED
|
@@ -1 +1,13 @@
|
|
|
1
1
|
SQLもPHPにとってはそういう文字列の集合体に過ぎないので、文字列として扱ってください。
|
|
2
|
+
|
|
3
|
+
|
|
4
|
+
|
|
5
|
+
ただ、現状だと最低でも2点マズイ実装があります。
|
|
6
|
+
|
|
7
|
+
- DBにSQLエスケープせず値を入れようとしている
|
|
8
|
+
|
|
9
|
+
→SQLインジェクション対策
|
|
10
|
+
|
|
11
|
+
- DBにhtmlエスケープした(加工した)値を入れようとしている
|
|
12
|
+
|
|
13
|
+
→htmlエスケープは画面表示時に行うもの(XSS対策)
|