SQLインジェクション対策を覚えた!
INSERT時
$query = sprintf(
"INSERT INTO plan (title,date,delflg)VALUES('%s','%s''%s''%s',0)",
mysql_real_escape_string($value_title),
mysql_real_escape_string($value_date),
mysql_real_escape_string($value_date_h),
mysql_real_escape_string($value_date_m));
mysql_query($query);
UPDATE時
$query = sprintf( "UPDATE plan SET title='%s', date='%s''%s''%s' WHERE id=%d", mysql_real_escape_string($value_title), mysql_real_escape_string($value_date), mysql_real_escape_string($value_date_h), mysql_real_escape_string($value_date_m), mysql_real_escape_string($value_id)); mysql_query($query);
date部分がなんだかスマートじゃないなぁ。何かいい方法はないものか。
