"週"記(2006-11-30)_ [webappsec] エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ select password from usertable where id = 入力値 (idが数値型) 入力値に 1 or 1 = 1 が与えられると・・・ といった攻撃を防ぐことは出来ません。このケースでは、前もって入力値が数値型であることを確認しておかなければなりません。 違いますよね。数値かどうかはDBがチェックすべきものでしょう。それをしてくれないのだとしても、最初から入力値を「'」で括っときゃいいんです。 <input type="hidden" value=入力値> を防ぐことはできません、って言ってるのと同じじゃないですか? 入力値の数値チェックをしなくていいわけじゃないけど、入力値チェックを組み込む手間と、「'」を2つ追記する手間を考えたら、どっちが簡単で美しい対策かわか
