• はてなブックマーク
  • テクノロジー
  • SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば
  • Twitterでシェア
  • Facebookでシェア

SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

テクノロジー カテゴリーの変更を依頼 記事元:d.nekoruri.jp
適切な情報に変更
216 usersがブックマーク コメント31

    記事へのコメント31

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    nekoruri
    オーナー nekoruri この頃流行りのSQLエスケープに関してこんな感じでまとめたので、突っ込み募集中。

    2013/12/11 リンク

    その他
    rti7743
    rti7743 既存の処理系がもっと使いやすくなって、何も考えずに適当に書いたコードが一番安全になってくれたらいいなと思います。

    2013/12/12 リンク

    その他
    theatrical
    theatrical "SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。"

    2013/12/12 リンク

    その他
    unirun
    unirun .NETな僕はパラメタライズドクエリ派()

    2013/12/11 リンク

    その他
    pullphone
    pullphone 概ねこんな姿勢でいいと思う

    2013/12/11 リンク

    その他
    ww_zero
    ww_zero 内容的には異論無い。しかし「プリペアドステートメント大勝利!希望の未来へレディゴー!」ではないのでこんなことで勝ち負け云々言うのはどうでもいい。お客様にご満足いただけることこそが俺たちの勝利だよ

    2013/12/12 リンク

    その他
    deamu
    deamu 「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。」 マジこれに尽きる。

    2013/12/12 リンク

    その他
    オーナーコメントを固定しています
    nekoruri
    オーナー nekoruri この頃流行りのSQLエスケープに関してこんな感じでまとめたので、突っ込み募集中。

    2013/12/11 リンク

    その他
    hiro14aki
    hiro14aki [SQL]エスケープ

    2018/05/06 リンク

    その他
    naga_sawa
    naga_sawa プレースホルダ使え/の原則で原則は大丈夫なはず

    2013/12/12 リンク

    その他
    dagama
    dagama likeも'% || ? || %'とか書いて値だけメタ文字エスケープする感じになるよね

    2013/12/12 リンク

    その他
    masaru_b_cl
    masaru_b_cl ただし、likeを覗いて

    2013/12/12 リンク

    その他
    KAZUMiX
    KAZUMiX エスケープと関係無いけど、 IntelliJ IDEA で DB の設定ちゃんとやっとくとエディッタが認識したプリペアドステートメントを利用してクエリー実行できて便利だった

    2013/12/12 リンク

    その他
    ghostbass
    ghostbass 位置パラメータしか使えなくて泣いたことは何度もあるけど。

    2013/12/12 リンク

    その他
    houyhnhm
    houyhnhm like検索が頻繁に発生するなら、検索用に項目作っちゃったりしますね。

    2013/12/12 リンク

    その他
    ya--mada
    ya--mada SQLに限らず、オレオレとかナンチャッテは禁止して欲しい。ナンチャッテJSONでエスケープ出来ていなくて嵌められた記憶が甦る。

    2013/12/12 リンク

    その他
    UDONCHAN
    UDONCHAN エスケープつらい

    2013/12/12 リンク

    その他
    kabochatori
    kabochatori そもプリペアドステートメントはセキュリティ目的ではないけども副次的にその効果もあるってだけなんだよね。最初からセキュリティを目的としたLIKEエスケープその他も抑えた標準な機構があるといいのにね。

    2013/12/12 リンク

    その他
    ww_zero
    ww_zero 内容的には異論無い。しかし「プリペアドステートメント大勝利!希望の未来へレディゴー!」ではないのでこんなことで勝ち負け云々言うのはどうでもいい。お客様にご満足いただけることこそが俺たちの勝利だよ

    2013/12/12 リンク

    その他
    NOV1975
    NOV1975 生まれてこの方プログラムからのSQLはプレースホルダしか使ったことがありません(若干嘘

    2013/12/12 リンク

    その他
    hidea
    hidea はじめてDBを操作するアプリを作った時にものすごくびくびくしながら作ったのを思い出した。

    2013/12/12 リンク

    その他
    luccafort
    luccafort タイトルに釣られてなにおぅ!と意気揚々と見に来たら書いてあることが悉く正論で正座でハイソノトオリデゴザイマス!っていいだすくらいには良いまとめ。

    2013/12/12 リンク

    その他
    Kenji_s
    Kenji_s LIKE句でエスケープするから結局ほぼ全員が負けるという状況に(w 必要なエスケープ関数がすべて標準で提供されているべきなんでしょうね

    2013/12/12 リンク

    その他
    tsucchi1022
    tsucchi1022 正論。良いまとめだと思う

    2013/12/12 リンク

    その他
    muddydixon
    muddydixon 「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです」ここにすべてが詰まってる

    2013/12/12 リンク

    その他
    YaSuYuKi
    YaSuYuKi SQL Server2000にJDBC経由でクエリを発行しようとした時、「select top 1 * from a」の「1」をプレースホルダにしたらクエリがこけた

    2013/12/12 リンク

    その他
    Itisango
    Itisango “LIKE句に食わせる文字列値の中の % や正規表現のメタ文字など、「文字列の中身」で必要なエスケープはもちろん必要ですし、そこから先こそこそがアプリケーションの責務だと考えます。”

    2013/12/12 リンク

    その他
    stk2k
    stk2k やはりプレースホルダが基本ですよね。テーブル名は動的にしなくても大抵モデルの切り替えで対応できますが、問題は記事の通りORDER などの部分。

    2013/12/12 リンク

    その他
    miragestlike
    miragestlike 負けです。

    2013/12/12 リンク

    その他
    koyancya
    koyancya それはちょっと怖そう -> "その通りに入力バリデーションを実施していれば、やはりエスケープの必要は無いはずです"

    2013/12/12 リンク

    その他
    rti7743
    rti7743 既存の処理系がもっと使いやすくなって、何も考えずに適当に書いたコードが一番安全になってくれたらいいなと思います。

    2013/12/12 リンク

    その他
    deamu
    deamu 「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。」 マジこれに尽きる。

    2013/12/12 リンク

    その他
    theatrical
    theatrical "SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。"

    2013/12/12 リンク

    その他
    unirun
    unirun .NETな僕はパラメタライズドクエリ派()

    2013/12/11 リンク

    その他
    gnety
    gnety like文を使うときはエスケープせずにできたっけ?SQL標準にない文を使うときもプレースホルダ使えないときがあった

    2013/12/11 リンク

    その他
    pullphone
    pullphone 概ねこんな姿勢でいいと思う

    2013/12/11 リンク

    その他
    wdoomer
    wdoomer わしエスケープしたい

    2013/12/11 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

    オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基だけ...

    ブックマークしたユーザー

    • techtech05212023/11/10 techtech0521
    • hiro14aki2018/05/06 hiro14aki
    • saken6492017/10/30 saken649
    • sankaseki2014/10/01 sankaseki
    • ryskosn2014/04/13 ryskosn
    • ori532014/04/11 ori53
    • unarist2014/04/09 unarist
    • heatman2014/01/11 heatman
    • sutatin2014/01/08 sutatin
    • ji_ku2014/01/02 ji_ku
    • kahki2013/12/25 kahki
    • hamaco2013/12/25 hamaco
    • ryonext2013/12/24 ryonext
    • zen33242013/12/15 zen3324
    • maisenakajima2013/12/14 maisenakajima
    • sukka92013/12/14 sukka9
    • sawarabi01302013/12/13 sawarabi0130
    • labunix2013/12/13 labunix
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.