質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

Q&A

解決済

3回答

422閲覧

ruby 1.9.3の環境で、PHPの「mysql_real_escape_string」の様にMysqlのエスケープを行う関数はありますか

siosenbei

総合スコア22

Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

0グッド

0クリップ

投稿2018/04/01 05:26

ruby 1.9.3の環境で、PHPの「mysql_real_escape_string」のように文字列を自動でエスケープする関数はありますか?

文字を直接エスケープすれば対応できますが、漏れがありそうで困っています。
何か良い関数があればご教示ください。
(または、エスケープスべき文字全てをご教示ください。)

message = "test '"
message = Regexp.escape(message).gsub("'", "\'")

query = <<EOS
insert into hogehoge (entry_id)
values('#{entry_id}');
EOS

よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

セキュリティを気にする必要があるのなら、まずRuby1.9.3はサポートが切れており安全とは言い難いです。

SQLに対してRubyは言語レベルでのサポートはありません。

Railsを使っている場合ならばActiveRecordのsanitize_sqlが使えるかもしれません。

投稿2018/04/01 06:44

asm

総合スコア15147

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

siosenbei

2018/05/16 12:11

言葉足らずで申しわけございません。 セキュリティではなく、APIからの戻り値が不定(何が返ってくるかわからない)なので、 ほとんどのパターンに対応できるようにしたいと考えました。 ご回答、ありがとうございました。
guest

0

自己解決

自前でのエスケープを実装しました。

ESC_TABLE = {
'&' => '&',
'<' => '<',
'>' => '>',
'"' => '"',
"'" => "'",
":" => ":",
"/" => "/",
"?" => "?",
"#" => "#",
"[" => "[",
"]" => "]",
"@" => "@",
"!" => "!",
"(" => "(",
")" => ")",
"*" => "*",
"+" => "+",
"," => ",",
";" => ";",
"=" => "="
}

def esc_str(str)
return = str.gsub(/[&<>"':/?#[]@!()*+,;=]/, ESC_TABLE)

投稿2018/05/16 12:14

siosenbei

総合スコア22

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

アドバイスとしては、
・SQLを動的に組み立てず、静的プレースホルダーを使う
ということです。値のエスケープ不要です。

参考:安全なSQLの呼び出し方

投稿2018/04/01 11:35

otn

総合スコア84423

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

siosenbei

2018/05/16 12:08

情報、ありがとうございます。 参考にさせて頂きました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問