新生鳩丸掲示板♯

>「ユーザー定義の値（文字列値）」であれば、

>　　1. 「'」を「''」に置換

>　　2. 全体を「'」と「'」で囲む

>と。

　LIKE を使わない場合は * や % や [] は処理しなくて良いのでしょうか。その辺がイマイチ謎ですが……。

　まあ色々試してみますか。

>「いろいろ撮ってみる」シリーズは、モブログ（何）なのでしょうか。いつも楽しみにしています。

　私にも良く分からないですが、まあ練習と称して撮ったテキトーなものをのっけたりしています。

　ちなみに写真のあるコンテンツには「写真」というジャンルをつけているはずので、

http://altba.com/bakera/hatomaru.aspx/ebi/genre/5199771f

　で一覧できたりします。

>Fotolog (http://www.fotolog.net/)とかどうですか。

　うがっ、")" が URL に使える文字だという罠がっ。

　個人的には英語のサービスはちょっとというか。

　あと、hatomaru.dll には拡大画像へのリンク機能とかもつけようと思っていたりしますんで、このままの方向で。

>　見当外れどころかまさにそれなのですが、そこに出てる文字全部ひとつずつエスケープしなきゃならんのかいな、という感じでして……。

その意味でルート記事を書かれたのですね。失礼いたしました。

列名のサニタイズが必要な場合、

　　1. 「]」を「\]」に置換

　　2. 全体を「[」と「]」で囲む

で終りではないでしょうか。

「ユーザー定義の値（文字列値）」であれば、

　　1. 「'」を「''」に置換

　　2. 全体を「'」と「'」で囲む

と。

　見当外れどころかまさにそれなのですが、そこに出てる文字全部ひとつずつエスケープしなきゃならんのかいな、という感じでして……。

被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」

http://www.google.co.jp/search?q=cache:F0Io0vetb4IJ:https://www.netsecurity.ne.jp/article/1/11949.html+&hl=ja&start=1&ie=UTF-8

被害を拡大、深刻化させる方向に運用されはじめた「刑法第２６１条」

http://kibutu.tripod.com/

やっぱりOfficeは逮捕されるべき。

http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpref/html/frlrfsystemdatadatacolumnclassexpressiontopic.asp

が参考になりませんでしょうか。

http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/cpref/html/frlrfsystemdatadatatableclassselecttopic2.asp

の解説に「引数 filterExpression を作成するには、フィルタを作成するときに DataColumn クラスの Expression プロパティの値に適用する規則と同じ規則を使用します」とあります。

見当外れでしたら申し訳ありません。

「いろいろ撮ってみる」シリーズは、モブログ（何）なのでしょうか。いつも楽しみにしています。

　うーん、しかし真性の SQL サーバではなくて、XML から読んだデータをメモリ上で DataTable に格納してるだけなんですよね。

　で、DataTable の Select メソッドには string しか渡せないですし、バインドっぽいものがなさそうな感じなのですが……。

>ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html

スターダストさん【誰】もベタほめのIPAのサイトにも「バインドを使え」と思いっきり書かれてますね。

ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。

>Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"

>

>Dim cmd As SqlCommand = New SqlCommand(selectString, conn)

>cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID

>

上記のようなparameterで私は回避してます。シングルコーテーションがそのまま登録できるのでINSERTなどはさらに楽です。

JavaでいうPreparedStatementみたいなのはないんですかねぇ。

http://msdn.microsoft.com/library/default.asp?

url=/library/en-us/cpguide/html/cpconsecureadonetcodingguidelines.asp

より

Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"

Dim cmd As SqlCommand = New SqlCommand(selectString, conn)

cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID

VBで、しかも、DataTable使ってませんが…^^;

Fotolog (http://www.fotolog.net/)とかどうですか。

>それはそうと(謎)、ヒューガルデン ホワイトに焼肉ってのが敗因だと思いました。魚貝類ですよ、やっぱり(謎)。

　そもそも「ヒューガルデン ホワイト」って何? という状態でしたので。

　とりあえず経験値が増えたので OK。

>office さん(誰)のハンドルは case sensitive なはず(謎)。

　おお。

http://02.teacup.com/office/bbs

　の title などは Capitalize されているのでそれにならったのですが、改めてご本人のメールの署名など見ると lower case が正しいっぽいですね。訂正しておきます。

　どうも失礼いたしました。＞officeさん

>何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。

>http://altba.com/bakera/hatomaru.aspx/htmlbbs/article/1441

　キューに入ってるんですが、キューがいっぱいなもので。

・内部データ構造をいじる

・コメント関係をいじる

　の順は逆にすると効率が悪いと思われますし、しばしお待ちくだされ。

>>既にコメントあったらここ(何処)にしか無理ですか。

>

>何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。

プレイ中でしたか(謎)。見守ります(謎)。

>既にコメントあったらここ(何処)にしか無理ですか。

何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。

http://altba.com/bakera/hatomaru.aspx/htmlbbs/article/1441

既にコメントあったらここ(何処)にしか無理ですか。

それはそうと(謎)、ヒューガルデン ホワイトに焼肉ってのが敗因だと思いました。魚貝類ですよ、やっぱり(謎)。