公開: 2009年4月29日13時55分頃 「WEBマーケティング研究会: 第1回・SQLインジェクション (www.webdbm.jp)」。 この記述には度肝を抜かれました。 SQLインジェクションは、予期しない変数や命令文に対処できないアプリケーションの脆弱性です。根本的な対策としては、アプリケーションに渡す変数をすべて文字列に変換すれば、SQLインジェクションを100%防ぐことができます。 文字列に変換すれば100%防げる!? SQLインジェクションはそもそも、「1 OR 1=1--」とか「foo' OR 1=1--」とかいった文字列を渡して攻撃するのです。文字列を文字列に変換しても何も起きないわけでして、全く意味のない話だと思うのですが……。よく見ると、続きにはこう書いてあったりします。