SQLインジェクション対策を覚えた!
INSERT時
$query = sprintf( "INSERT INTO plan (title,date,delflg)VALUES('%s','%s''%s''%s',0)", mysql_real_escape_string($value_title), mysql_real_escape_string($value_date), mysql_real_escape_string($value_date_h), mysql_real_escape_string($value_date_m)); mysql_query($query);
UPDATE時
$query = sprintf( "UPDATE plan SET title='%s', date='%s''%s''%s' WHERE id=%d", mysql_real_escape_string($value_title), mysql_real_escape_string($value_date), mysql_real_escape_string($value_date_h), mysql_real_escape_string($value_date_m), mysql_real_escape_string($value_id)); mysql_query($query);
date部分がなんだかスマートじゃないなぁ。何かいい方法はないものか。