回答編集履歴
2
追記
test
CHANGED
@@ -11,3 +11,81 @@
|
|
11
11
|
|
12
12
|
|
13
13
|
漫画は、ユーザー入力を文字列連結するようなコーディングだったので、ユーザーに drop... という文字列を入力され、結果、テーブルがまるごとドロップされてしまったということです。
|
14
|
+
|
15
|
+
|
16
|
+
|
17
|
+
**【追記】**
|
18
|
+
|
19
|
+
|
20
|
+
|
21
|
+
下の 2019/08/01 10:10 の私のコメントで「長くなりますので回答欄に追記します」と書きましたが、それを以下に書きます。
|
22
|
+
|
23
|
+
|
24
|
+
|
25
|
+
> 漫画にこだわらないで、ドキュメントの本質を見ようよ。ってことですね。
|
26
|
+
|
27
|
+
|
28
|
+
|
29
|
+
質問者さんの本来の疑問は漫画の意味ではなくて、[https://docs.python.org/ja/2.7/library/sqlite3.html](https://docs.python.org/ja/2.7/library/sqlite3.html) に書いてあった「SQL インジェクション攻撃に対し脆弱」になるのは何故かで、対策として以下のようにクエリをパラメータ化するということが書いてあったが理解できない。
|
30
|
+
|
31
|
+
|
32
|
+
|
33
|
+
```
|
34
|
+
|
35
|
+
# Never do this -- insecure!
|
36
|
+
|
37
|
+
symbol = 'RHAT'
|
38
|
+
|
39
|
+
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
|
40
|
+
|
41
|
+
|
42
|
+
|
43
|
+
# Do this instead
|
44
|
+
|
45
|
+
t = ('RHAT',)
|
46
|
+
|
47
|
+
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
|
48
|
+
|
49
|
+
```
|
50
|
+
|
51
|
+
|
52
|
+
|
53
|
+
漫画を読めば理解できると思ったがやっぱり理解できない・・・ということで今回の質問に至ったと勝手に理解してます。
|
54
|
+
|
55
|
+
|
56
|
+
|
57
|
+
違いますか?>質問者さん
|
58
|
+
|
59
|
+
|
60
|
+
|
61
|
+
|
62
|
+
|
63
|
+
> 「パラメータ化」って言葉を選んだのにもなんか理由があったりしますか? 「プリペアドステートメントを使用する」って表現が一般的な気がしますが、使い分けの理由があれば知りたいです。
|
64
|
+
|
65
|
+
|
66
|
+
|
67
|
+
自分的には「SQL インジェクション防止」⇒「クエリのパラメータ化」という言葉が出てくるということです。質問者さんが参考にされている記事にも "**パラメータ**割り当てを使います" とありましたし。
|
68
|
+
|
69
|
+
|
70
|
+
|
71
|
+
パラメータ化のもう一つのメリットにパフォーマンスの向上がありますが、そちらに目が行くと「プリペアドステートメント」という言葉も出てくるかもしれませんが。
|
72
|
+
|
73
|
+
|
74
|
+
|
75
|
+
#SQL Server の場合の自分的な理解ですが、クエリをパラメータ化するというのはリテラルの部分をプレースホルダを使って記述すること。パラメータの入力はリテラルとして扱われるから SQL インジェクション攻撃を防ぐことができる・・・ということで、「SQL インジェクション」と言われると「パラメータ化」という言葉しか出てきません。
|
76
|
+
|
77
|
+
|
78
|
+
|
79
|
+
パラメータ化クエリ
|
80
|
+
|
81
|
+
[http://surferonwww.info/BlogEngine/post/2012/02/02/Parameterized-query.aspx](http://surferonwww.info/BlogEngine/post/2012/02/02/Parameterized-query.aspx)
|
82
|
+
|
83
|
+
|
84
|
+
|
85
|
+
#これは質問者さんにとってはどうでもいい話かもしれませんが、もう一つ副次的な効用があって、SQL Server + SqlClient でパラメータ化クエリを使用すると、照合順序の違いによる文字化けに悩むことがなくなるというメリットもあります。
|
86
|
+
|
87
|
+
|
88
|
+
|
89
|
+
パラメータ化の副次的な効用
|
90
|
+
|
91
|
+
[http://surferonwww.info/BlogEngine/post/2016/06/04/use-parameterized-query-to-avoid-unexpected-character-corruption.aspx](http://surferonwww.info/BlogEngine/post/2016/06/04/use-parameterized-query-to-avoid-unexpected-character-corruption.aspx)
|
1
訂正
test
CHANGED
@@ -10,4 +10,4 @@
|
|
10
10
|
|
11
11
|
|
12
12
|
|
13
|
-
漫画はユーザー入力を文字列連結するようなコーディングだったので、ユーザーに drop... という文字列を入力され、結果、テーブルがまるごとドロップされてしまったということです。
|
13
|
+
漫画は、ユーザー入力を文字列連結するようなコーディングだったので、ユーザーに drop... という文字列を入力され、結果、テーブルがまるごとドロップされてしまったということです。
|