【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方

SQLインジェクションを・・・駆逐してやる！！ この世から・・・一匹残らず！！ (PHPカンファレンス2015)

[ockeghem]

ニッコリ

[JULY]

だれか、「高木先生に怒られない～」というのにチャレンジする人はいないかなぁ。

[NOV1975]

プレースホルダ使ってないのが悪い。でも制約あるからしょうがないよね。じゃあどうしようって話。

[naqtn]

"お客さまにおすすめの新刊があります"やられたｗ

[ghostbass]

良い資料/LINQは良くできているけど真似して実装してもPHPだと式を渡せないのだよなあ。callableの中身とか構文ツリーが取り出せればいいのに

[nisshin-k]

本の宣伝したから怒られないという事ではないですよね・・・

[YaSuYuKi]

参考資料に挙げられているS2JDBCでは、ここに挙げられている問題の相当部分(擬似でないプレースホルダ、IN、foreachなど)が解決されている。ただし、終了が宣言されてしまった。DomaやDBFluteでは行けるのかな？(Javaに限る)

[kaputte]

当の徳丸先生がブクマでニッコリしてる

[kazuhooku]

提案手法はS2DaoとかJava方面で発展してきてる（2-wayだったりとか）ものなので、そちらを参考にしたほうが良いのでは？

[sin20xx]

いろいろな意味で面白いね。

[iww]

名指し

[y-koshi]

徳丸先生に怒られない、動的SQLの安全な組み立て方

[japanitnt]

徳丸先生に怒られない、動的SQLの安全な組み立て方: 徳丸先生に怒られない、動的SQLの安全な組み立て方 1. 徳丸先生に怒られない 動的SQLの 安全な組み立て方 Makoto Kuwata…

[hevohevo]

徳丸先生に、にっこりされてるーw

[mak_in]

セキュリティ関連の方々に全く怒られないコードを書ける自信がないです

[unarist]

文字列連結でSQLを組み立てない。せやな。

[Eimelle555]

対して、高木先生に殺られる動的SQLアンチパターン とかどうだろうか

[tohima]

let's tweet!!!

[rti7743]

SQLテンプレートエンジンは面白いアイディアだけど別ファイルになるとめんどくさそう。

[asahiufo]

ゴクリ

[pochi-p]

いつぞやどっかで「'SQL文字列型'と'文字列型'を区別して、文字列演算子を使えなくしちゃいましょう」って言ってたのと根っこは一緒の発想かな？　最終目標は分かるけど、現状の選択肢はどれだけあるのだろう…？

[smokyjp]

セキュリティ

[fan-tail]

おー。

[koyancya]

SQL 構文木極めたい

[aceraceae]

とりあえず

[kabochatori]

SQLテンプレートはもっといろんな言語で流行って欲しい。"SQL Injection が発生する本当の原因は、 ライブラリや API のインターフェースに 欠陥があるからである""HTMLテンプレートでは
 すでに知られていたことばかり"

[lets_skeptic]

確かに

[el-condor]

SQLテンプレが使えるDBアクセスライブラリだと、JavaだとiBatisとかあったけれど、PHPだとデファクトスタンダード的なものはないのかしらん。

[theatrical]

人間が注意してやらないといけないとか、機能が足りないという時は、api改善の契機と考えよう。という話

[masakiplus]

Share SlideShare

[shingok]

#slmtech