LIKE句のSQLインジェクション | Yakst

GitHubのエンジニアがデータベースのスローログから見つけた、LIKE句を使ったクエリーのパフォーマンス問題につながる可能性のある文字列。問題の仕組みと、それを回避するためのスニペット。 先日、例外情報のトラッカーを見回していたら、目を引くスロークエリーログを発見しました。SELECT ... WHERE ... LIKEといったクエリーのLIKE句にたくさんのパーセントが付いているのです。この部分はユーザが入力した部分なのは明らかで、最初私はSQLインジェクションを疑いました。 [3.92 sec] SELECT ... WHERE (profiles.email LIKE '%64%68%6f%6d%65%73@%67%6d%61%69%6c.%63%6f%6d%') LIMIT 10 コードを見てみると、ここで解釈されるメタ文字(%や_や\)のチェックをまったくせずにユーザが指定し

[Untouchable]

LIKE句にユーザー入力を直接渡すようなところがあるとDoSが簡単にできちゃうということか

[quabbin]

LIKE '%' || ? || '%' とすればいいだけじゃ…

[wordi]

インジェクション対策とは主旨ずれるけど、一応PostgreSQLだとpg_trgmで中間一致にもインデックス効かせられたり

[gfx]

タイトルの訳に疑問。SQLをインジェクトするのではなくLIKE句のオペランドに任意の文字列を渡せる問題なのだから、原文のタイトルどおり「LIKEインジェクション」が正しいと思う。

[masapon49]

SQLインジェクションφ（。。）ｶｷｶｷ

[uzuki05]

sanitize_sql_like

[clavier]

LIKE句のSQLインジェクション | Yakst[security]