06/09/08 18:33:51
データベースに渡される数値以外のユーザ入力を データベース固有の文字列エスケープ関数 (mysql_escape_string(), sql_escape_string(), など) でクオートしてください。
データベース固有の文字列エスケープ機能が利用できない場合、 addslashes() および str_replace()関数が利用できるでしょう。 (データベースの型に依存) 最初の例を参照 してください。
前期の例が示すように、クエリの静的な部分をクオート するだけでは充分ではなく、簡単にクラックされてしまう可能性があ ります。
URLリンク(jp2.php.net)