addslashes()ではなくpg_escape_string()を使おう
addslashesも、pg_escape_stringも文字列をエスケープさせる関数であるが、
postgreSQLに、データを流し込む(sqlを作成する)場合は、
addslashesでなく、pg_escape_stringを使うこと。
詳しいことは面倒なので
http://itpro.nikkeibp.co.jp/article/COLUMN/20060530/239359/?ST=lin-server&P=3
で確認してほしい。
要は、エスケープの方法が違うので、pg_escape_stringのほうが安全ということです。
ちなみに、postgreSQLをより安全に使うためには、
フロントエンドとバックエンドの文字コードは合わせておいたほうがいいみたいです。
つまりは、SJISは利用するなって事です。
Category: PHP, PostgreSQL / Tags:
Comments
No Comments
Leave a reply