06/12/17 11:24:17
>>311
> tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
> もし、SQL文の処理で tep_db_inputを付けていない $*** があったらそこは危ないです。 標準仕様は先ず、処理されてます
残念ながらそうとはいえない。
$*** の中にはシングルクォートが入らないと保証されているのなら、
tep_db_inputをつけていなくとも問題ない。
たとえば、$***が数字であった場合にのみ走る処理の中の
SQL文とか、そのSQL文より前のコードでサニタイズされているとかね。
世の中そう単純なものではない。