SQLインジェクション対策の極意はSQL文を組み立てないことにあり

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

[ockeghem]

公開されました。ストアドプロシージャとSQLインジェクション対策の関係に焦点をあてつつ、SQLインジェクションの全般的な解説を試みています

[ww_zero]

既存のコードのメンテとかすると、プレースホルダの使用はまだまだ浸透してないなーと思うことが多い。例えば $_POST["hoge"] をそのまま連結するとかザラ。しょうがないのでしこしこエスケープしたりとか

[yukkesan]

極意ってほどのことかとは思うけど、やっちゃってるソースはよく見るから意識の問題かしらね。SQLインジェクション対策にストアドが特に有効…とも思わないけど、手法としてはアリ、ただRDBMS毎に方言がね…。

[T-miura]

自分の勤めていた環境では、10年ぐらい前から“ Prepared Statements”使っとけ、以上。だった・・・。Stored Proceduresはちょっと・・・

[pmint]

エンジニア向けなら「型を揃えること」「SQLは文字列のサブクラス」でインジェクション系の説明は済むと思う。シンプルに考えないと穴を生みやすくなるので、考え方は重要。

[gfx]

ストアドプロシージャによるSQLインジェクション対策たしかに見ないな。

[nakag0711]

ビューストプロはSQLおじさんのものという偏見があるような気がする。あとデバッグやテストの環境が貧弱なのが難点だな

[Dai_Kamijo]

CodeZineとOWASPのコラボ企画！徳丸さんによる「SQLインジェクション対策の極意はSQL文を組み立てないことにあり」の記事が公開！SQLiが発生する原理やその対策を解説いただいています。#owaspjapan — OWASP Japan Chapter (@OwaspJapan) Ja