MySQLは個人的に馴染み深いDBであり、また広く使われているDBなのだが、結構引っ掛かる点があったりする。雑感程度にまとめておきたい。 2012/09/24追記 MySQL 5.6での日付型マイクロ秒対応 JDBCドライバのPreparedStatementがデフォルトでは静的プレースホルダではない IPA「安全なSQLの呼び出し方」の「5.5 Java+MySQL」によると、 デフォルトでは動的プレースホルダが選択されるので、静的プレースホルダを使用するには、DB 接続時に useServerPrepStmts=true というパラメータを指定する必要があります。 とあり、初期状態では動的プレースホルダを使ってSQLを組み立ててからMySQLサーバーに送信している。つまり、JDBCドライバの実装に問題があれば、SQLインジェクションが発生し得るということであり、実際に過去において脆弱性