SQL インジェクション

SQL にとって危険な文字をエスケープする必要がある。

プログラム内で防ぐ。
 PHPには関数「mysql_real_escape_string() 」などがある。
 →mysql_query() で安全に 利用できる形式に変換します。(先頭にバックスラッシュを付加)
   \x00, \n, \r, \, ‘, ” そして \x1a.

設定ファイルphp.iniで防ぐ場合
・php-error.log ファイルを作成
[PHP]
cgi.fix_pathinfo=1
register_globals = Off ;;
file_uploads = On ;;(推奨)ファイルのアップロード機能を使うとき必要

magic_quotes_gpc = Off
display_errors=”0″
error_reporting=”2047″
log_errors=”1″
error_log=”/home/HOME/php-error.log”

php-error.log ファイルを先に作っておく(アクセス権を適切に設定)

phpセキュリティ