memo.xight.org

サニタイズの基本

サニタイズの基本

- SQLインジェクション
MySQL PHP $sql = mysql_escape_string($sql);
MySQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g;
PostgreSQL PHP $sql = pgsql_escape_string($sql);
PostgreSQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g;
SQLite PHP $sql = sqlite_escape_string($sql);

- OSインジェクション
Linux PHP $str = escapeshellarg($str);
Linux Perl $str =~ s/'/\\'/g;

- XSS
PHP $str = htmlspecialchars($str);
Perl $str =~ s/</</g;

- Reference
入門 Ajax: 本 - pp.16