回答編集履歴

SQLインジェクションの説明を修正

2016/09/12 11:31

投稿

スコア2019

answer CHANGED Viewed

@@ -19,4 +19,5 @@
 /* お勧めできません */
 string sql = @"select username from test_table where data = '" + name + "'";
 NpgsqlCommand cmd = new NpgsqlCommand(sql, conn);
-```
+```
+変数`name`におかしな値、例えば`hoge'; delete from test_table where 'a'='a`などという文字列が入っていたら……。