質問編集履歴
4
読みやすく
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -58,9 +58,9 @@
|
|
|
58
58
|
|
|
59
59
|
|
|
60
60
|
|
|
61
|
+
**lodashのtemplateを利用を想定したテンプレート文字列**
|
|
62
|
+
|
|
61
63
|
```
|
|
62
|
-
|
|
63
|
-
<% /* lodashのtemplateを利用を想定したテンプレート文字列 */ %>
|
|
64
64
|
|
|
65
65
|
SELECT *
|
|
66
66
|
|
3
改行を追加
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -62,7 +62,11 @@
|
|
|
62
62
|
|
|
63
63
|
<% /* lodashのtemplateを利用を想定したテンプレート文字列 */ %>
|
|
64
64
|
|
|
65
|
+
SELECT *
|
|
66
|
+
|
|
65
|
-
|
|
67
|
+
FROM user
|
|
68
|
+
|
|
69
|
+
WHERE
|
|
66
70
|
|
|
67
71
|
<% if( age ) { %>
|
|
68
72
|
|
2
たとるを修正
test
CHANGED
|
@@ -1 +1 @@
|
|
|
1
|
-
SQLインジェクション対策はエスケープ処理を行うだけでいいのか?
|
|
1
|
+
SQLインジェクション対策は正しくエスケープ処理を行うだけでいいのか?
|
test
CHANGED
|
File without changes
|
1
修正
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -78,11 +78,15 @@
|
|
|
78
78
|
|
|
79
79
|
|
|
80
80
|
|
|
81
|
-
SQL文の作成にテンプレートエンジンを利用するといった話はあまり聞いたことがありませんが、もしこの実装方法で開発を進めていく場合、今まではDB関連のモジュールに標準で備わっていた`?`を利用してエスケープ
|
|
81
|
+
SQL文の作成にテンプレートエンジンを利用するといった話はあまり聞いたことがありませんが、もしこの実装方法で開発を進めていく場合、今まではDB関連のモジュールに標準で備わっていた`?`を利用してエスケープ処理を任せていたが、そのような処理を独自に開発することになります。
|
|
82
82
|
|
|
83
83
|
|
|
84
84
|
|
|
85
|
+
テンプレートエンジンを利用するため独自に開発というと語弊がありますがもともとテンプレートエンジンはSQL専用のモジュールではないし`?`のエスケープ処理がどのように行われているか詳しく理解せずに独自のやり方で実装すると思わぬ脆弱性を生んでしまうかもしれません。
|
|
86
|
+
|
|
87
|
+
|
|
88
|
+
|
|
85
|
-
そ
|
|
89
|
+
そこで、SQLインジェクション対策は基本的にエスケープ処理をしっかり行っていれば良いのかみなさんにお聞きいたしました。
|
|
86
90
|
|
|
87
91
|
|
|
88
92
|
|