はてなブックマーク - Connector/J 5.1とServer Side Prepared Statement

Connector/J 5.1とServer Side Prepared Statement - mir the tritonn

d:id:mir

タグ : mysql java security jdbc database db セキュリティ webappsec sql injection SQL

コンピュータ・IT 31 users

MySQL, Connector/J, Javaここ数日「MySQL + Connector/J(JDBC ドライバ) + プリペアードステートメント」の話題がちらほら出ています。正確に把握はしていないですがSQLインジェクション対策→PreparedStatementという流れできた話のようです。徳丸浩の日記 - JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性へぼへぼCTO日記 - useServerPrepStmtsを使うのが根本解決だとはおもう。け... > このページを見る

最終更新時間: 2008年12月24日18時27分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

koumiya
Server Side Prepared StatementとClient SIde Prepared StatementのMysqlによる実装 2009/05/27
nilab mysql, java, security
Connector/J 5.1とServer Side Prepared Statement - mir the tritonn:useServerPrepStmts:MySQLサーバがver4.1になるまでPrepared Statement機能を提供していなかった:client-side 2009/01/13
ockeghem mysql, security, jdbc, java
徳丸です。大変詳しい解説をありがとうございます 2008/12/24
silver_arrow Java, MySQL, DataBase
MySQLには ConnectorJ側で提供するClient-Side P.S と MySQL Serverで提供する Server-Side P.S があると。接続URLに”useServerPrepStmts=true”を入れると Server-Sideが有効になる。それにしても close 呼ばないヤシってそんなに多いのか…!? 2008/12/24
ikepyon
問題はクライアント側のPreparedStatementでは文字コードに依存するSQLインジェクションが発生するということで･･･ 2008/12/24
nihen mysql, java, security
元はと言えば、client-sideなPreparedStatementがエスケープする際にCのAPIのmysql_real_escape_string()のように送信する文字コードを意識したエスケープをしていないのが問題だと思うのですが、それについてはどうなんでしょうか。 2008/12/24