【ZenCat】osCommerce ..
319:nobodyさん
06/12/17 11:24:17
>>311
> tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
> もし、SQL文の処理で tep_db_inputを付けていない $*** があったらそこは危ないです。 標準仕様は先ず、処理されてます
残念ながらそうとはいえない。
$*** の中にはシングルクォートが入らないと保証されているのなら、
tep_db_inputをつけていなくとも問題ない。
たとえば、$***が数字であった場合にのみ走る処理の中の
SQL文とか、そのSQL文より前のコードでサニタイズされているとかね。
世の中そう単純なものではない。
次ページ続きを表示1を表示最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4966日前に更新/311 KB
担当:undef