変数に型のない言語におけるSQLインジェクション対策に対する考察(5): 数値項目に対するSQLインジェクション対策のまとめ - 徳丸浩の日記(2007-09-24)

暮らしカテゴリーの変更を依頼記事元:

www.tokumaru.org

35 usersがブックマークコメント

コメント

4

記事へのコメント4件

注目コメント
新着コメント

kjtec SQLインジェクション

*DB

2018/07/30 リンク

pm11op 数値をquote することの是非

sqlインジェクション

2008/06/13 リンク

oooooooo 数値をクォートしてエスケープする方法は、数値項目に対するSQLインジェクション対策としては機能するが、副作用が多い。筆者としてはSQLを組み立てる直前での数値チェックをお勧めしたい。

db
security

2007/09/25 リンク

hiro_y 数値をクォートしてエスケープすると速度が低下したり。数値チェックの仕組みをオススメ。

security

2007/09/24 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

変数に型のない言語におけるSQLインジェクション対策に対する考察(5): 数値項目に対するSQLインジェクション対策のまとめ - 徳丸浩の日記(2007-09-24)

_数値項目に対するSQLインジェクション対策のまとめ一連の議論では、以下の条件におけるSQLインジェク... _数値項目に対するSQLインジェクション対策のまとめ一連の議論では、以下の条件におけるSQLインジェクション対策について議論している。 SQLインジェクション対策において、バインド機構が利用できない(したくない) 変数に型のない言語(Perl、PHP、Rubyなど)を使用している数値型の列の場合この場合の対策としては、以下の二種類が機能する。 SQL文組み立ての前に、数値としての妥当性検証を行う数値項目もシングルクォートで囲み(クォートし)、文字列リテラルと同様のエスケープを行う数値項目もクォートする方法このうち、後者の積極的な推進者として大垣靖男氏がおられる。例えば、以下のような記事すべての変数をエスケープする対策この方法はすべてのデータベースに利用できる対策です。文字列，整数などデータ型に関わらず変数すべてを文字列としてエスケープすることにより，SQLインジェクションを

ブックマークしたユーザー

kjtec2018/07/30
soulja_boy2013/10/10
tyage2011/02/19
upftmemo2011/01/05
bayan2010/05/07
norizo32009/10/29
seneca2009/10/19
threeMonths2009/09/24
kistame2282009/09/24
seckie2009/06/14
pasela2009/04/08
jdg2008/11/06
saka392008/11/04
d14a2008/07/28
pm11op2008/06/13
becoming2007/10/22
pero12007/10/01
aki772007/09/29

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx