• はてなブックマーク
  • テクノロジー
  • PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた
  • Twitterでシェア
  • Facebookでシェア

PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
354users がブックマーク コメント 28

    記事へのコメント28

    • 注目コメント
    • 新着コメント
    isidai
    一つだけ49円の本がある / 徳丸浩の日記:

    その他
    hondallica
    ロープライス¥49を二度見した

    その他
    koyhoge
    アドカレとは思えないほどの力作w 大垣さんはSQLインジェクションだけではなく、セキュリティ教育全般にいつの間にか舞台を移動しているので、噛み合わないのでしょう。

    その他
    nagoling
    “ 同書のSQL呼び出しの説明は基本的にPDOを用いていますが、SQLインジェクションの説明の節では、プレースホルダが使えない場合はpg_escape_stringやmysql_real_escape_stringなど「データベースエンジン毎に用意された関数」でエス

    その他
    tomo_thumb
    x

    その他
    namikawamisaki
    PHP入門~パーフェクト系までを読んでのレビュー

    その他
    nemoba
    ORMで抽象化された層で複雑なサブクエリーを食わせようとして、サブクエリーがORMで解釈されなくなり、パラメータ化できなくなって文字列組み立てしてエスケープを始めるパターンなら良く見た。

    その他
    snomof
    意外ととインジェクションの危険性があるコードは出なかったようだけど、PHPの入門書って地雷原っぽい

    その他
    zakinco
    メモ

    その他
    gontta
    いい

    その他
    gnufrfr
    pdoで名前付きのプレースホルダと連想配列でぐるぐる回しながらbindしまくってたのでとくにプリペアードステートメントが使えないシーンねーな。pdoないとか5,6年前か。 http://www.php.net/manual/ja/pdostatement.bindparam.php

    その他
    FTTH
    挨拶代わりの大垣disで草、というか本当に話の枕扱いでしかないw / 俺的にはこれ参照→[google:"セキュリティ守破離"]

    その他
    kits
    「PHP初心者がSQLを呼び出す場合は、『ともかく文字列連結でSQL文を組み立てるな、プレースホルダを使え』という指導は有効」

    その他
    mumincacao
    たまに SQL 投げる前に htmlspecialchars() かけるひと居るのがどうしてその考え方に至ったのか謎なんだけど入門本でもその間違いしてるのがあるですか・・・ (´・ω【みかん

    その他
    masapon49
    気になるのでメモ

    その他
    asuka0801
    SQLインジェクションについて書かれた著書まとめ

    その他
    muchonov
    たとえば複数のPOST値の有無を判定して1行ずつ「プレースホルダ入りのprepared statementの断片を積み上げる形でSQLを組み立てる」というのはアリなのかナシなのか知りたい今日この頃。

    その他
    poppun1940
    2013年12月13日金曜日 PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと

    その他
    isidai
    isidai 一つだけ49円の本がある / 徳丸浩の日記:

    2013/12/13 リンク

    その他
    s025236
    関連ページも結構みてるんだけど、プレースホルダが使えない場合エスケープって話だと思うんだけどそもそもプレースホルダが使えない状況ってなんなの?

    その他
    efcl
    PHPの書籍のSQLエスケープ/プレースホルダーについてまとめ

    その他
    honeybe
    トマホーク

    その他
    nasneg
    “こちら”

    その他
    hylom
    Togetterの関連エントリを見ないと事の背景が分からないw ちなみに自分はPHP使いではないですがSQLにおけるエスケープは「使ってはいけない」派です。

    その他
    hondallica
    hondallica ロープライス¥49を二度見した

    2013/12/13 リンク

    その他
    koyhoge
    koyhoge アドカレとは思えないほどの力作w 大垣さんはSQLインジェクションだけではなく、セキュリティ教育全般にいつの間にか舞台を移動しているので、噛み合わないのでしょう。

    2013/12/13 リンク

    その他
    k-holy
    PDOStatement::execute($parameters)が全てのパラメータを文字列として扱う恐ろしい仕様なのはもっと広く知られた方がいいと思います

    その他
    ghostbass
    だれも「エスケープは不要」とは言わず「プレースホルダ使え」と言っているのにいつの間にか「エスケープは不要」になってるっぽい。

    その他
    nekoruri
    史上空前のSQLのエスケープブームwww

    その他
    koyancya
    "史上空前のSQLブーム"

    その他
    ockeghem
    日記書いた。『この投稿はPHP Advent Calendar 2013の13日目の記事です…』

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた

    この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはど...

    ブックマークしたユーザー

    • techtech05212023/11/10 techtech0521
    • marmot11232017/11/02 marmot1123
    • darux2017/06/14 darux
    • newwave82016/05/06 newwave8
    • sumlibe2015/03/19 sumlibe
    • nagoling2014/11/12 nagoling
    • kasahi2014/10/27 kasahi
    • ikosin2014/10/17 ikosin
    • karumado2014/10/15 karumado
    • fnkhrshtn2014/06/15 fnkhrshtn
    • pooh332014/03/13 pooh33
    • tyage2014/03/05 tyage
    • taiti08262014/03/04 taiti0826
    • elm_arata2014/01/27 elm_arata
    • heatman2014/01/12 heatman
    • akio09112014/01/11 akio0911
    • pero12014/01/11 pero1
    • arket7892014/01/09 arket789
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.