-
ID:IayTPE さんの質問

データベースを検索する時もエスケープ処理ってするのですか?追加や更新時だけでなく。

あと、wpでカスタムフィールドから取得した値をWP_Queryのコンストラクタ引数に渡す時も、引数に渡す前段階でカスタムフィールドから取得した値をエスケープ処理しておく必要があるのでしょうか?

みんなの回答 2 件

ID:OKapDh さんの回答

全部やる。SELECT文でもSQLインジェクションの危険はある。だから通常は生のSQL文は書かず、関数を通してエスケープするようにする。最近はフレームワーク任せにしてる。
WP_query() は内部でエスケープしている模様。だから普通に変数を渡していい。

ID:IayTPE

なるほど!ありがとうございます!

ID:eUXVPp さんの回答

こういう人ってワールドプレスな人に多いよね。。。
エスケープすらちゃんと出来ず受託とかやって訴訟問題になった事件があったな。

ID:IayTPE

その事件のリンクをどうぞ。

ID:eUXVPp

それぐらいググれよ。アホなの?
matimura.cocolog-nifty.com/matimulog/2015/01/privacy-8cc8.html

ID:IayTPE

パシリくん、検索代行おつかれ。読んでみるわ。

ID:JP4QQR

トピ主みたいな池沼を放置すると日本の害だからわざわざググったったんやわ

最終更新日:2016-07-15 (1,809 views)

関連するトピックス

ページ上部に戻る