SQLインジェクションは本当に避けられないのか - ドクジリアン柔術少女 すから☆ぱいそん - ワルブリックス株式会社

ありもしない完全な代替品を求めるよりも、より現実的な選択肢を改善することについて。 SQLからなるべく乖離しないでDRYを実現するっていうScalikeJDBCの落としどころが素晴らしい。「結局のところSQLは書かなきゃいけんねん」「SQLよりつぶしの効くRDB操作用言語は存在しえないねん」っていうORMの教訓を経てきた人類はここに到達したって感じで。 — 嶋田大貴 (@shimariso) 2014, 11月 21 というツイートをしたところ、 何をいうか。必ずORMを使うべきだ SQLは根本的にSQLインジェクションを回避できない問題がある みたいな趣旨の反応があったのだけれど、前者についてはWikipediaのここ を一読いただくとして、後者についてはプログラミング言語のほうが発達してて状況が違ってきてるよという話をしたい。 誤解しないでいただきたいのは、別にSQLが良いものであると

[moro]

SQLインジェクションもそうだけど、SQL型面白い。いろんなものを「文字列」にしちゃって、そっから手動でダウンキャストしているというのが、世のいろんな災いのもとだと思いました。

[raydive]

おおーコンパイル時に強制されるのはいいなぁ

[kfujii]

なるほど。

[cubed-l]

型でやるのは面白いな

[n2s]

いいなぁこういうの。いいなぁ…

[ockeghem]

『先頭に付いているsql がこれを文字列と異なる SQL型のオブジェクトであることを示している。型が違うので文字列とは連結できないし、文字列との相互変換もできない』

[sonota88]

SQL型＋文字列の連結でコンパイルエラー

[rryu]

昔は埋め込みSQLとかでインジェクションの心配は一切無かったのにどうしてこうなってしまったのか……

[noonworks]

いい/scalaぜんぜん知らないんだけどユーザ定義リテラルを簡単に作れるのかな？/カスタム補間子というらしい http://htn.to/vsvKJ2

[YaSuYuKi]

SQL Injectionを起こす可能性のある書き方をするとコンパイルエラーになるのは強力だな

[ledsun]

Javaのソースコード上でSQLを扱う時の最大の問題は、ヒアドキュメントが無いこと。読みやすく改行できない！Scalaにはヒアドキュメントがある、SQLが扱える。ORMの自動生成が邪魔になって来た。そこでMicro-ORM！

[katsuren]

スクリプト言語のプリペアドステートメントでもエラーならインジェクションできないじゃんとか思ってたけど、型があることで型定義とか順序とか気にせず書けるってところがいいのか！ってひとりで納得した。

[umai_bow]

型はいいね。 リリンの生み出した文化の極みだよ。

[isaisstillalive]

SQLリテラルというのは強力だな

[todesking]

オフトピだけど、ORMの定義がわからなくなってきた…… ScalikeJDBCはORMじゃないのか

[koyancya]

SQL リテラル！なるほど

[yukkesan]

「SQLは根本的にSQLインジェクションを回避できない問題がある」？？単純文字列結合の時は…でしょ？根本的って何？

[shibuyads]

ありもしない完全な代替品を求めるよりも、より現実的な選択肢を改善することについて。 SQLからなるべく乖離しないでDRYを実現するっていうScalikeJDBCの落としどころが素晴

[Dryad]

型を使うことで生産性が上がることの非常に良い例。