2006-09-11 yohgaki's blog - PEAR DBのPostgreSQLドライバのセキュリティホール SECURITY 「PostgreSQLにアクセスする際に,str_replaceという関数で「’」と「¥」をエスケープしていた。「これはダメダメ」(大垣氏)。マルチバイト環境(特にシフトJIS)でこうした単純なエスケープをしてしまうと,SQLインジェクションが可能になるケースがある」というのの実例。
