アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
SQL Injection (スコア:0)
SQLインジェクションの防止機能とかないでしょうか?
プログラマーの責任ですが、なかなかなくなりません。
Re:SQL Injection (スコア:0)
それはDB側の機能として対処する話では無いんじゃない?
第一インジェクションさせるSQLだってSQL構文に乗っ取っている訳だから
DB側で判断させようが無いと思いますが・・・
まぁ解った上で聞いている話だと思いますけどね。
やはり入り口で値チェックするのが一番でしょうなぁ。
Re:SQL Injection (スコア:0)
サニタイジングとかいう人は素人。
Re:SQL Injection (スコア:1)
XSSは出口ですが。
わたしもわからないので、ぜひ教えてください。
Re:SQL Injection (スコア:2, 参考になる)
よって SQL Injection に於ける出口とは,SQL を組み立てるときのこと。
Injection (含XSS) の基本は,出口でサニタイズ。これ以外はほぼ絶対に,穴か理不尽な制約(ex. [']を入力すると消されるなど)が付きます。
Re:SQL Injection (スコア:1)
私の知ってる対処法と同じでした。
「出口」「入口」という書き方が間違いの元ですね。
PostgreSQLの話題なんで、PostgreSQLから見た「入口」という意味で私は使っておりました。
「出口で対処するって言ったって、DBに不正なクエリが既に逝ってるじゃん」って。
# 元ACの本意は同じ?
Re:SQL Injection (スコア:0)
>元ACの本意は同じ?
同じです。言葉尻を取られて誤解があった様ですね。すんません
私の参考にしているのはIPAのセキュアプログラミング講座 [ipa.go.jp]です。
もぅ何度も/.では紹介されていますけどね。
Re:SQL Injection (スコア:0)
> XSSは出口ですが。
差し込む文字列は必ず「'」でくくって、
差し込む文字列中の「'」を「''」にエスケープする。
そんだけ。