回答編集履歴
1
追記
answer
CHANGED
|
@@ -1,3 +1,15 @@
|
|
|
1
1
|
> SQLインジェクション対策を付けるべきか、付けないべきか迷っています。
|
|
2
2
|
|
|
3
|
-
そんなことに迷ってないで、当たり前のこととして対策すべきです。
|
|
3
|
+
そんなことに迷ってないで、当たり前のこととして対策すべきです。
|
|
4
|
+
|
|
5
|
+
**【追記】**
|
|
6
|
+
|
|
7
|
+
どのようなアプリか書いてないので分かりませんが、例えばクエリをパラメータ化するという当たり前にやるべきことをやっておくだけでも、SQL インジェクションの防止になります。詳しくは以下の記事を見てください。
|
|
8
|
+
|
|
9
|
+
パラメータ化クエリ
|
|
10
|
+
[http://surferonwww.info/BlogEngine/post/2012/02/02/Parameterized-query.aspx](http://surferonwww.info/BlogEngine/post/2012/02/02/Parameterized-query.aspx)
|
|
11
|
+
|
|
12
|
+
ただし、以下の記事に書いてありますが「高いスキルを持つ決然たる攻撃者は、パラメータ化されたデータであっても操作できるのです」というのはその通りで、そこに書いてある「すべての入力の検証」なども考えるべきと思います。
|
|
13
|
+
|
|
14
|
+
SQL インジェクション
|
|
15
|
+
[https://docs.microsoft.com/ja-jp/previous-versions/sql/sql-server-2008/ms161953(v=sql.100)](https://docs.microsoft.com/ja-jp/previous-versions/sql/sql-server-2008/ms161953(v=sql.100))
|