「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」

Kazuho Oku @kazuho ですよね。基本プリペアードクエリで良いということ > 「エスケープ処理を省略できるAPIが用意されている場合が〜これらのAPIの利用を推奨して構わない〜その良い例がプリペアードクエリ」 / “IPAの「安全なSQLの呼び出し方」が…” http://t.co/tWIraJ0p1T 2013-12-09 18:21:26 Kazuho Oku @kazuho 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」なら誰も異論はないんじゃないの 2013-12-09 18:22:38

[uzulla]

「プレースホルダは完璧絶対か？」というのに「完璧にエスケープすれば安全だから取り入れよう」を要求しているのが渋い。／「上級者でも間違える」んだから、最初から使わない方が世界は平和感ありますね！

[yappo]

大垣さんってコード書いたこと無いのかなって思いました

[koyancya]

すごい、半分以上がやさしさで出来てる

[lepton9]

大垣氏は管理者のみ扱えるレイヤーとエンドユーザーのレイヤーを平等に扱うとかいう暴挙にでるから芳ばしいことになってる。合わせて読みたい http://blog.rocaz.net/2013/12/1660.html http://togetter.com/li/599648

[zorio]

ユーザー入力値の前方一致で検索する場合なんかで、LIKE演算子を使うときはプレースホルダが使えなかった気がする。

[equinox79]

頭が痛い

[lesamoureuses]

今までの経験ではプリペアードだけで済んでたのでこれからもしエスケープを使うような場面になったらもう一回読んでみます

[s025236]

SQL組み立てるにしたってプリペアが使えない場所にユーザー入力値そのまま使うなってだけコード化しとこうね。where区を動的に組み立てるだけならプリペア使えるし何が言いたいマトメかよくわからず

[ghostbass]

ユーザー入力値をSQL文中の識別子に使う、って発想がそもそもできないんだが…

[honeybe]

乙。

[hirafoo]

「セキュリティ対策」って誤用が嫌

[nekoruri]

.@kamipo さんの「「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」」をお気に入りにしました。

[koba04]

[sql