今夜のお題は DB 操作の第2の書き方です。テスト4では DB::query を使って SQL文を直接書く方法を使いました。テスト5では Query Builder を使う方法です。Query Builderには DB::select、DB::insert、DB::update、DB::delete などがあります。テスト5の機能…

昨日のテスト4のサンプルコードなんですが、SQLインジェクション対策がちゃんと出来たので満足していたら、何と XSS（Cross-Site Scripting）攻撃に対する脆弱性が存在しました。ユーザの入力値 $_POST に対しては test3post.php で htmlspecialchars() 関数…

kohana のユーザーガイドを読んでいると、kohana 3.x 以降ではデータベース操作に対してテスト3とは違う方法を推奨しているようです。セキュリティー対策、柔軟な操作を目的に改善されているようです。 2通りの書き方があるようですが、本日夜の部では第1の…