怪談: SQLインジェクションの恐怖 に追記
2008年11月19日(水曜日)
怪談: SQLインジェクションの恐怖 に追記
公開: 2024年4月18日20時10分頃
怪談: SQLインジェクションの恐怖に追記しました。
微妙に誤解されている方がいらっしゃるようなのですが、これ、実装の話ではなくて検査の話です。元の徳丸さんのお話 (d.hatena.ne.jp)は
- SQLインジェクションの疑いを持ったときに、フォームから「' OR 1=1--」のような文字列を入れたりするとデータが壊れる可能性もあるので危険
という主旨なのですが、それに対して
- 実際にそうやって壊れたと思われる経験がある
- そのため、個人的にはフォームから「'」は入れても、「'」の後ろに何か文字を入れる事はしないようにしている
……という話です。「'」の後ろに何も入れなければ、エラーは出てもデータベースが壊れるようなことは (たぶん) ないはずですので、比較的安全です。
- 「怪談: SQLインジェクションの恐怖 に追記」にコメントを書く
関連する話題: セキュリティ / SQLインジェクション
