MySQLの文字列連結 - teracc’s blog
MySQLのSQL構文はちょっと特殊でSQL Injectionの確認を行なうときには、ちょっと面倒だったりします。 私がイヤなことの一つに、MySQLでは文字列連結の演算子がないことがあります(concat関数による文字列連結は可能。またANSIモードのMySQLでは「||」による文字列連結ができるらしいですが、ANSIモードで動かしているサーバは殆ど無いと思います)。 ですが、今日少し試していたら、concatを使わずに文字列連結する方法があることに気が付きました。 mysql> insert into tableB values ('ab' 'c'); Query OK, 1 row affected (0.00 sec) mysql> select * from tableB; +-----+ | ID | +-----+ | abc | +-----+ 1 row in set
SET NAMESは禁止
(Last Updated On: 2018年8月13日)MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。 Ruby on Railsの本を読んでいて、ActiveRecordを説明している部分にMySQLの文字エンコーディングを変更する場合の例としてSET NAMESが利用されていました。アプリケーションからはSET NAMESは使ってはならない事を周知させるのは結構時間が必要かなと思いました。 PHPも5.2の途中からMySQLモジュールにlibmysqlの文字エンコーディング設定APIのラッパー関数が
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
