アカウント名:
パスワード:
> データベースのデータをサニタイズするプロセス
誤訳だと思ったらソースがそうだった。正しくはたぶんSQLエスケープ処理ですよね。「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
HTMLじゃなくてSQLだよね。でもHTMLで入れてるんかな?それにバッチだし。リンク切れとか各国語版の整合とかもしかすると不適切な表現とか、そういうののチェックという可能性も。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
これはちょっと意味わかんない。もしかして入出力時の処理じゃないからとかそんな話?
HTMLじゃなくてSQLだよね。
おっと、「SQLじゃなくてHTMLだよね。」のまちがいだwデータベースにSQLいれてどうするんだとwww
データベースのデータってなんだよwメアドでは無いと思うけど。。
MDNはCMS使ってます。データベースのデータってのはCMSのデータでコンテンツそのものです。
で、使ってるCMSなんだっけと探してようやく謎が解けた。 https://developer.mozilla.org/en-US/docs/MDN/About#Download_content [mozilla.org]
If you want to download a complete, anonymized SQL dump of the MDN database -- that is, a copy of the database with all private user information scrubbed out, we provide that as well. This dump is updated on the
SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。(プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。いつまでSQLにエスケープ処理って言葉が残るのだろうか。動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。
#初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。#パラメータライズドクエリのが全然楽なのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
サニタイズ? (スコア:1)
> データベースのデータをサニタイズするプロセス
誤訳だと思ったらソースがそうだった。
正しくはたぶんSQLエスケープ処理ですよね。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
Re: (スコア:0)
HTMLじゃなくてSQLだよね。
でもHTMLで入れてるんかな?それにバッチだし。
リンク切れとか各国語版の整合とかもしかすると不適切な表現とか、そういうののチェックという可能性も。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
これはちょっと意味わかんない。もしかして入出力時の処理じゃないからとかそんな話?
Re: (スコア:0)
HTMLじゃなくてSQLだよね。
おっと、「SQLじゃなくてHTMLだよね。」のまちがいだw
データベースにSQLいれてどうするんだとwww
Re: (スコア:0)
データベースのデータってなんだよw
メアドでは無いと思うけど。。
Re: (スコア:0)
MDNはCMS使ってます。データベースのデータってのはCMSのデータでコンテンツそのものです。
で、使ってるCMSなんだっけと探してようやく謎が解けた。
https://developer.mozilla.org/en-US/docs/MDN/About#Download_content [mozilla.org]
If you want to download a complete, anonymized SQL dump of the MDN database -- that is, a copy of the database with all private user information scrubbed out, we provide that as well. This dump is updated on the
Re: (スコア:0)
SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。
(プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)
というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。
いつまでSQLにエスケープ処理って言葉が残るのだろうか。
動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。
#初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。
#パラメータライズドクエリのが全然楽なのに。