エスケープしてもSQLインジェクション対策にならない - Webと何かとその近所

.NET Frameworksを利用するWebアプリケーションでの、文字コードの扱いが謎です。Webページの表示とFormへの入力だけならともかく、DBを使ったりするとよく解らんのです。 基本的に.NET Frameworksの内部*1ではUnicode*2が使われていて、生成されるWebページはUTF-8になっているようです。この場合にユーザからの入力を受け付けるページでは ユーザの入力 ↓UTF-8 ASP.NET ↓Unicode Webアプリケーション(.NET Frameworks) という感じで文字コードの変換が行われているようです。 ここにEUC-JPが使われているMySQLへのODBC接続が加わると ユーザの入力 ↓UTF-8 ASP.NET ↓Unicode Webアプリケーション(.NET Frameworks) ↓Shift_JIS MyODBC日本語変換機能版(EU

[Gosogoso]

.NETでエスケープしても文字コード変換の上で対策が無駄になってしまうお話

[lt004036]

「ちなみにここでのMySQLはバージョン3.xです。4.1.x以降ではサーバ側でキャラクタセット文字エンコーディングの変換を行うため事情が変わってきます。」

[donayama]

ASP.NETでユーザの入力をMyODBC(Shift_JIS)経由MySQL(EUC-JP)で接続すると、エスケープしても0x5c文字の絡みでSQLインジェクションが発生してしまう。可能ならbind機構を使用しましょうというお話。