(閉じる)

はてなブックマーク > コンピュータ・IT > Webアプリケーションとかの入門本みたいのを書く人...

Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ

d:id:ajiyoshi

タグ :

コンピュータ・IT 162 users このエントリーをはてなブックマークに追加

Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ

SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。 単にプリペアドステートメントを使え絶対に文字列結合でSQLを構築しようとしてはいけないIPAの「安全なSQLの呼び出し方」を読むことなんでこんなことを書くかというと、同僚が献本されてた「プロになるためのWeb技術入門」なる本のSQLインジェクションの項で、SQLインジェクションの対策として以下のように書いてあったからです*1。 a) 値をバリデーションする b) プリペアドステートメントを使うダメです。間違っています。単に間... > このページを見る

最終更新時間: 2010年04月09日20時39分
▼ブログで紹介する

みんなのブックマーク 人気(0) 新着

  • sagaraya sagaraya , ,
    SQLインジェクションを防ぐには、エスケープではなくプリペアドステートメント(またの名をプレースホルダ)を使う!! 2012/05/16
  • kuwalab kuwalab
    端的でわかりやすいw 2011/12/14
  • mas-higa mas-higa , ,
    SQL インジェクション対策の決め手 2011/11/10
  • usurausura usurausura , ,
    (1)単にプリペアドステートメントを使え(2)絶対に文字列結合でSQLを構築しようとしてはいけない(3)IPAの「安全なSQLの呼び出し方」を読むこと 2011/11/09
  • kutakutatriangle kutakutatriangle , , ,
    なるほど。 2011/09/30

    1 RT

    • @tebasaki_s 「救いがたく間違っています」とか、手厳しい。 QT @takuan_osho なるほど。 / “
  • mshattori mshattori , ,
    単にプリペアドステートメントを使え,絶対に文字列結合でSQLを構築しようとしてはいけない,IPAの「安全なSQLの呼び出し方」を読むこと 2011/09/09
  • suginoy suginoy
    「値のバリデーションは必要ですが、それはプログラムの正常な挙動を担保するためであって、SQLインジェクション対策のためではありません」たしかこの本のセキュリティはおまけ程度だったので流し読み程度 2011/08/24
  • setamise setamise
    とても良いエントリ 2010/04/26
  • prasinos prasinos ,
    当然なんだけどさ、内規でサニタイズしろって言われたらどうしたらいいんだろう。プリペアに対して特殊文字はないので絶対マッチしない正規表現を削除するとかかな 2010/04/14
  • shinichitomita shinichitomita ,
    単にプリペアドステートメントを使え 2010/04/13
  • sononon sononon
    おー、さすがだ。 2010/04/13
  • ohnishiakira ohnishiakira ,
    "「単にプリペアドステートメントを使え」 それ以外のSQLインジェクションの文脈では些末すぎること(バリデーションやエスケープ)が書いてある本は燃やしてもいいのではないかと思います。" 2010/04/12
  • fukken fukken
    "SQLインジェクションはクラッカーの巧妙な攻撃手法とかではありません。単なるバグです。対策はプリペアドステートメントを使うことだけです" 2010/04/12
  • tsupo tsupo ,
    「SQLインジェクションはクラッカーの巧妙な攻撃手法とかではありません。単なるバグです。」 2010/04/12
  • riki3bow riki3bow
    単にプリペアドステートメントを使え RT: Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 – 2010/04/12
  • SiroKuro SiroKuro
    JDBCネイティブだと、可変長項目にプレースホルダ使えなかったような気がする。IN の中身とか。 2010/04/12
  • nyomonyomo nyomonyomo ,
    webアプリケーションの入門講座とかやるから心に留めておこう 2010/04/12
  • n2s n2s ,
    「単にプリペアドステートメントを使え」「『絶対に』文字列結合でSQLを構築しようとしてはいけない」「IPAの『安全なSQLの呼び出し方』を読むこと」 2010/04/12
  • cubed-l cubed-l
    このことを理解した人が次に行うべきは、この情報を周りに拡散すること。webじゃなくて同僚とかに。 2010/04/11
  • Naruhodius Naruhodius
    そうですね 2010/04/10

はてなブックマークを使ってみる(無料)
はてなブックマークって?
はてなブックマークはオンラインでブックマークを管理・共有できる無料サービス。自宅、職場、外出先、どこからでも同じブックマークにアクセスできます。ユーザーはみんなでブックマークを共有して効率良く情報収集しています。あなたもはてなブックマークを始めてみませんか?