SQLインジェクション対策をするから起こる、セカンドオーダーSQLインジェクションとその対策 - ウィリアムのいたずらの、まちあるき、たべあるきウィリアムのいたずらが、街歩き、食べ物、音楽等の個人的見解を主に書くブログです(たま~にコンピューター関係も) またまた「日経システム構築」ネタで申し訳ないのだが今月号(2005年12月号)の31ページにセカンドオーダーSQLインジェクションという方法がある。 これは、SQLインジェクションを防ぐのに、外部から受け取るパラメータだけ、サニタイジングしたときにおきる。 具体的に、その方法について、以下日経システム構築に書かれているのを紹介すると (斜体部がそこからの引用で、ふつうの字体はウィリアムのいたずらの説明) ■■ 前提知識 ・SQLにおいて、1行コメントを書くには -- をつけるとかける(以下コメントになる) ・文字列は'で囲む ・SQLインジェクション対策として、サニタイジングを行った場合、'はエスケープされ、'を含む文字も登録することができる ■■ 方法 ・はじめに admin'
