DB書き込みや読み込み時の方法について

困った時はこちらで質問してください。回答を担当する人は特に決まっていませんので、分かる方は回答をお願いします。
アバター
かえで
記事: 20
登録日時: 2008/7/16 19:38
お住まい: 群馬県
連絡を取る:

DB書き込みや読み込み時の方法について

投稿記事by かえで » 2014/4/05 14:02

DBへのinsert,update,select時のセキュリティー的なこと(安全な方法)をお聞きしたいのですが、

現在は$_POSTの値の場合は、
$value = htmlspecialchars($value, ENT_QUOTES);
をして、その他の値はそのまま

下記のようにして、insert,update,selectをしているのですが問題ないでしょうか?

"SELECT * FROM テーブル名
WHERE カラム名 = '" . zen_db_input(zen_db_prepare_input($value)) . "'"

"UPDATE テーブル名
SET カラム名 = '" . zen_db_input(zen_db_prepare_input($value)) . "'
WHERE カラム名 = '" . zen_db_input(zen_db_prepare_input($value2)) . "'"

"INSERT INTO テーブル名
(カラム名)
VALUES ('" . zen_db_input(zen_db_prepare_input($value)) . "')"

よろしくお願いします。
---------- 環境 ------------
zencart: v1.3.8a 日本語版
データベース: MySQL 5.0.27
PHP バージョン: 5.2.6
---------------------------

“Zen Cart 質問コーナー” へ戻る