［PostgreSQLウォッチ］第27回 SQLインジェクション脆弱性を修正，日本語ユーザーに大きな影響：ITpro
addslashes()で'を\'に置換していると言うところで「まさか…」と思ったことが正解だった。エンコーディングは難しい…けど、SJISの事を忘れていて、無条件に\に置換すると、ものの見事にはまると。ちょっと前は普通のアプリで

 if(c[i] == '\\') ...

なんてソースを山ほど見ましたが、いまだに油断しているとこんなソース書く人多いです(^^;(そして何が問題かも知らないからテストもしない)。伝統的なアプリケーションの問題がちょっと形を変えてWebアプリでも出てくるって感じ？