エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
"週"記(2006-11-30)
_ [webappsec] エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ select passwor... _ [webappsec] エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ select password from usertable where id = 入力値 (idが数値型) 入力値に 1 or 1 = 1 が与えられると・・・ といった攻撃を防ぐことは出来ません。このケースでは、前もって入力値が数値型であることを確認しておかなければなりません。 違いますよね。数値かどうかはDBがチェックすべきものでしょう。それをしてくれないのだとしても、最初から入力値を「'」で括っときゃいいんです。 <input type="hidden" value=入力値> を防ぐことはできません、って言ってるのと同じじゃないですか? 入力値の数値チェックをしなくていいわけじゃないけど、入力値チェックを組み込む手間と、「'」を2つ追記する手間を考えたら、どっちが簡単で美しい対策かわか