変数に型のない言語におけるSQLインジェクション対策に対する考察(5): 数値項目に対するSQLインジェクション対策のまとめ - 徳丸浩の日記(2007-09-24)
_数値項目に対するSQLインジェクション対策のまとめ 一連の議論では、以下の条件におけるSQLインジェクション対策について議論している。 SQLインジェクション対策において、バインド機構が利用できない(したくない) 変数に型のない言語(Perl、PHP、Rubyなど)を使用している 数値型の列の場合 この場合の対策としては、以下の二種類が機能する。 SQL文組み立ての前に、数値としての妥当性検証を行う 数値項目もシングルクォートで囲み(クォートし)、文字列リテラルと同様のエスケープを行う 数値項目もクォートする方法 このうち、後者の積極的な推進者として大垣靖男氏がおられる。例えば、以下のような記事 すべての変数をエスケープする対策 この方法はすべてのデータベースに利用できる対策です。文字列,整数などデータ型に関わらず変数すべてを文字列としてエスケープすることにより,SQLインジェクションを
SQLの暗黙の型変換はワナがいっぱい
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2009年9月24日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、SQLにおいて「暗黙の型変換」を使うべきでない理由として、具体的な「ワナ」をいくつか紹介します。 数値項目に対するSQLインジェクション対策のまとめにて説明したように、RDBの数値型の列に対してSQLインジェクション対策をする方法として、以下の三種類が知られています。 バインド機構を用いる パラメータの数値としての妥当性確認を行う パラメータを文字列リテラルとしてエスケープする このうち、方法3を使うべきでない説明の補足です。具体的には、方法3には、「暗黙の型変換」が発生しますが、それが思わ
全問解説◆基本情報技術者試験 平成21年春期
基本情報技術者試験は,情報処理技術者試験センターが実施する情報処理技術者試験の一つで,「高度IT人材となるために必要な基本的知識・技能を持ち,実践的な活用能力を身に付けた者」を認定する試験です。本試験はこれまで,情報システムの開発・運用を担う人材を対象にしていましたが,2009年(平成21年)の春期試験から,開発・運用側と利用側の人材を一体化した試験体系に改正されました。 受験機会は,毎年4月(春期)と10月(秋期)の年2回です。試験は午前試験と午後試験に分かれており,午前試験は全80問を,午後試験は13問中7問を解答します。すべて選択式の問題で,制限時間は,午前試験,午後試験とも2時間30分です。 効率良く知識を吸収するには,過去問題を解きながら学ぶのが一番です。そこで本連載では,2009年4月(平成21年度春期)に実施された基本情報技術者試験の全問題の解答・解説を掲載します。全問題を一
JavaScriptゲーム&ツール - もりばんのゲーム工房
JavaScriptのオリジナルゲームとツールを公開するサイト。神経衰弱ゲームやルーレットリンク等、JavaScriptソースの無料ダウンロード提供あり。Linux OSを使ったシステム構築、Visio、ITIL資格試験 の話題も。ようこそ! もりばんのゲーム工房では、Webブラウザ上で楽しく遊べるJavaScriptのオリジナルゲームと、ホームページを作成される皆様向けに役立つ情報・JavaScriptツールの提供を目指しています。 また、近年は Linux OSを使ったシステム構築、Visio、ITIL資格試験 の話題も扱っており、サイト名とコンテンツの不一致に軽く頭を悩ませております…。
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
