Q&A
まさにそのことを想定していました。
ありがとうございます。
タイトルの通りなのですが、
SQLを一切使っていないのにsqlインジェクションの可能性が出ることはありますか?
とくにこのコードでとかはないのですが、疑問に思い質問いたしました。
よろしくお願いいたします。
回答3件
0
SQLを利用していないならSQLインジェクションは起こりません
ただユーザーから受け取ったデータをそのままWEB上に表示すると
XSSなどの不正処理が発生することがあるので必ずエスケープが必要です。
また、urlに割り当てるときはそのルールにあわせたエンコードが必要です
当然バイナリデータなどWEB上に表示してはいけないものもあるので
どうしても投入した場合はbase64を利用したりします
その他様々な用途に合わせて各種エンコード処理が必要になりますが
SQLインジェクション対策のようなエミュレートではないRDBの機能を利用した堅牢な対策
とはやや用途が違います
投稿2017/11/29 05:39
総合スコア114829
0
ベストアンサー
質問の意味が分かりきらないのですが…
SQLインジェクションなので、SQLを一切使っていなければSQLインジェクションは起こりえません。
但し、他にもOSコマンドインジェクションやオブジェクトインジェクション等があるので、
SQLを使っていない=脆弱性対策不要とはならないので、注意した方が良いと思います。
投稿2017/11/29 05:30
総合スコア3027
0
SQLを一切使っていないのにsqlインジェクションの可能性が出ることはありますか?
「sqlインジェクションの可能性が出る」というのが、脆弱性診断ツールなどでこう表示されるという意味であれば、十分ありえると思います。この場合は、誤検知ということになりますね。
投稿2017/11/29 06:05
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。