[B! SQL][脆弱性] mi1kmanのブックマーク

mi1kman id:mi1kman

SQLと脆弱性に関するmi1kmanのブックマーク (1)

第42回　PostgreSQL 9.0に見るSQLインジェクション対策 | gihyo.jp
PostgrSQL 9.0から追加されたエスケープ関数から、SQLインジェクション対策を再度解説してみたいと思います。 SQLインジェクション対策の4原則基本的にはSQLインジェクション対策として以下の原則を守っていれば、SQLインジェクションに脆弱なアプリケーションを作ることはありません。すべてのパラメータを文字列としてエスケープするすべてのパラメータをプリペアードクエリのパラメータとして処理する文字エンコーディングの設定をAPIで行うパラメータとして処理できない文字列はバリデーションを行う原則1と原則2は重複して適用する必要はありません。どちらかを行います。文字エンコーディングの設定やプリペアードクエリのエミュレーション・抽象化ライブラリのバグ等でSQLインジェクションが可能になる場合もありますが、通常であればこの原則を守っている限りSQLインジェクション脆弱性を作ることは
mi1kman 2011/05/19
「パラメータとして処理できない文字列」の項で示された例は、安全なウェブサイトの作り方1-(ii)「ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない」に反し、云わば「論外の実装」ではないか。

セキュリティ

脆弱性

SQLインジェクション

SQL

大垣靖男

お前がそう思うんなら

そうなんだろう、

お前ん中ではな
リンク
1

お知らせ

もっと読む

公式Twitter

@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
@hatebu
最新の人気エントリーの配信

キーボードショートカット一覧

j次のブックマーク

k前のブックマーク

lあとで読む

eコメント一覧を開く

oページを開く

設定を変更しましたx