Q&A
SQL インジェクションって、クエリをビルドする際に起きることが多いので、対象となる言語(とかビルドする仕組み)を記述した方が的確な回答が付くかと
タイトルのとおりです。
クオートさえしてれば絶対に安全ですか?
回答4件
0
ベストアンサー
「SQLインジェクションはパラメータをクオートすれば安全ですか」という質問に端的に答えるなら、答えはNoです。
例えば、以下の記事をお読みください。
投稿2018/03/08 11:25
総合スコア11701
0
IPAが公開しているSQLインジェクション対策を一読しましょう。
検討するべき事柄が他にもあります。(クォートだけじゃ足りなすぎる。)
https://www.ipa.go.jp/files/000024396.pdf
投稿2018/03/07 09:59
編集2018/03/07 10:25退会済みユーザー
総合スコア0
回答ありがとうございます。
その資料にはエスケープすることしか書いてないようですけど
SQL文の実行に直結する部分においてはそのように思い込まれるのも仕方ないですが、SQL実行するユーザー権限の扱いを適切に対応することなど、補足的な情報のページもあります。
エスケープ処理をする方法についても、処理系が用意するバインド機構の活用や、ユーザーが文字列置換関数を活用する方法など複数のケースに触れられています。(3ページにも渡って。)
質問者さんが言う「クオートさえしてれば」というのを、私は「ユーザーが文字列置換関数を活用する」と解釈したので、回答では「足りなすぎる」としました。大げさに思われたかもしれません。
0
甘いです。where句に or 0=0 などの条件をクォーテーションの中に埋め込まれたテーブルが全件持って行かれます。
SQLインジェクション対策について
SQLインジェクション対策を怠って訴訟を起こされて開発側が敗訴した判例もありますからご注意を。
投稿2018/03/07 10:10
総合スコア16415
あなたの回答
tips
プレビュー
