オレオレSQLセキュリティ教育は論理的に破綻している

(Last Updated On: 2018年8月20日)ツイッターでの議論を見て「SQLエスケープを教える必要はない」とする原因は「教育の基本」と「セキュリティの基本」の理解不足が「根本的な原因」だと解ってきました。この事についてもブログを書くかも知れませんが、今日は「オレオレSQLセキュリティ教育」、言い換えると「自分の環境に特化したSQLセキュリティ教育」について書きます。一般論・基礎としてのセキュリティ教育は、自分の環境に特化したセキュリティ教育では困る、という話です。 このエントリは「貴方が普段言っている事が間違っている」と非難または攻撃しているのではありません。実務で「プリペアードクエリ・プレイスホルダ・ORMを使いましょう」と言うことは全く間違っていません。セキュリティ教育はこういう手順で教えたほうが解りやすいです、と提案しています。 ツイッターでSQLセキュリティ教育に「エ

[Kenji_s]

SQLインジェクションとは無関係ですが、LIKE句のワイルドカードのエスケープ処理は多くの場合必要なので、エスケープを教えないのは無理がある

[pullphone]

“エスケープは必要ない” そんなこと誰も言ってないと思うし、誰も思ってないだろ。そんなこと言ってる奴いたらそっちのほうが叩かれてるだろ

[yohgaki]

編集してここは意図を伝える為に必要ないと判断して削除しましたが、変数埋め込みが一切できないORMは私も知りません :) 正しいテキスト処理、つまりエスケープ処理の知識は必要です。

[koyancya]

そんな ORM があるのか -> "変数を一切埋め込む事ができないORMなど教えるべきでしょう"