MW211 EXIT

devlog
PHP/SQLインジェクション対策における%と_
2012年02月14日
LIKE演算子とセットで使うワイルドカードの「%」と「_」。
「'」とかと同じものだから、所定の手続きをとれば上手い具合に
やってくれそうな錯覚におそわれる。

例えば、addslashes()では何もしてくれない。

検索文字中に「%」や「_」が含まれている場合には
自力で「\%」や「\_」にしなきゃならない

「WHERE name LIKE %サクラ\%オー%」みたいになればよい

ついでに「\」も「\\」にしなければならない。
分類:PHP、PDO