データベースを検索する時もエスケープ処理ってするのですか?追加や更新時だけでなく。
あと、wpでカスタムフィールドから取得した値をWP_Queryのコンストラクタ引数に渡す時も、引数に渡す前段階でカスタムフィールドから取得した値をエスケープ処理しておく必要があるのでしょうか?
全部やる。SELECT文でもSQLインジェクションの危険はある。だから通常は生のSQL文は書かず、関数を通してエスケープするようにする。最近はフレームワーク任せにしてる。WP_query() は内部でエスケープしている模様。だから普通に変数を渡していい。
なるほど!ありがとうございます!
こういう人ってワールドプレスな人に多いよね。。。エスケープすらちゃんと出来ず受託とかやって訴訟問題になった事件があったな。
その事件のリンクをどうぞ。
それぐらいググれよ。アホなの?matimura.cocolog-nifty.com/matimulog/2015/01/privacy-8cc8.html
パシリくん、検索代行おつかれ。読んでみるわ。
トピ主みたいな池沼を放置すると日本の害だからわざわざググったったんやわ
みんなの回答 2 件
全部やる。SELECT文でもSQLインジェクションの危険はある。だから通常は生のSQL文は書かず、関数を通してエスケープするようにする。最近はフレームワーク任せにしてる。
WP_query() は内部でエスケープしている模様。だから普通に変数を渡していい。
こういう人ってワールドプレスな人に多いよね。。。
エスケープすらちゃんと出来ず受託とかやって訴訟問題になった事件があったな。
関連するトピックス