JSON SQL Injection、PHPならJSONなしでもできるよ | 徳丸浩の日記

　この記事で説明されているJSON SQL Injectionと同様の動作が非JSONのリクエストでも発生する問題ですが、正しくはjQueryによるAjaxリクエストとサーバーサイドにPHP、Ruby on Railsの組み合わせでも発生します。

　jQueryはパラメーターのシリアライズにおいて、PHPやRuby on Railsと同じようにブラケットによる多次元ハッシュのシリアライズ方法を採用しています。
　Ruby移植版も含めて対策は進んでいますが、リクエストヘッダーのHTTP_X_REQUESTED_WITHでアクセスをAjaxにのみ限定する方法は対策とはならないので注意が必要です。