###前提・実現したいこと
Play 2.4(Scala) + Slick 3.0(MySQL 5.5) を利用しています。
表題通りの質問ですが、SlickのPlain SQLを利用して、WEHRE句を動的に変更した場合の
SQL Injection対策についてスマートな記法がないか悩んでおります。
下記の場合、nameに「2%' or 1=1-- 」といった文字列が来た場合などに、
SQL Injectionされてしまいます。
###該当のソースコード
scala
1// 外部入力されるnameであいまい検索をしたい 2val whereState = "and name like '%$name%'" 3 4sql"select * from a_table where age = 20 #$whereState"
SQL Injection攻撃されないスマートな記述方法がわかるかた、ご教授いただけないでしょうか。
よろしくお願いします。
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/10/06 05:20
2016/10/06 06:00