タイトルのとおりです。
クオートさえしてれば絶対に安全ですか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
ベストアンサー
「SQLインジェクションはパラメータをクオートすれば安全ですか」という質問に端的に答えるなら、答えはNoです。
例えば、以下の記事をお読みください。
投稿2018/03/08 11:25
総合スコア11701
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
IPAが公開しているSQLインジェクション対策を一読しましょう。
検討するべき事柄が他にもあります。(クォートだけじゃ足りなすぎる。)
https://www.ipa.go.jp/files/000024396.pdf
投稿2018/03/07 09:59
編集2018/03/07 10:25退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/03/07 10:31
退会済みユーザー
2018/03/07 11:21
0
個別で対応するより、プレースホルダ(prepare)で処理すれば良いと思います
ただしSQLに渡す前にある程度のサニタイズはしたほうがよいでしょう
投稿2018/03/08 01:25
総合スコア114843
0
甘いです。where句に or 0=0 などの条件をクォーテーションの中に埋め込まれたテーブルが全件持って行かれます。
SQLインジェクション対策について
SQLインジェクション対策を怠って訴訟を起こされて開発側が敗訴した判例もありますからご注意を。
投稿2018/03/07 10:10
総合スコア16415
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/03/08 10:26
2018/03/08 10:29
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。