アカウント名:
パスワード:
なんか「+」で異常動作するのが盲点だったように書かれているけど、原因はシングルクォートのエスケープ漏れという基本中の基本だから。
昔のシステムならそらありえるわな。最近作られたようなのだとプリペアするのが当たり前当たり前当たり前!なんだから普通のインジェクションが入り込む余地がない。Webシステム系に入ったばかりで右も左もわからないような時期ですらSQL文への代入はプリペアするなんて常識だったし。WebのHello Worldレベルの基本。
ODBCの初期の頃はドライバの挙動がおかしいDB型が変などなどの理由であえて使わなかったりもしたけど
ログに出す際はバインド変数からSQL文に展開したりするけどね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
「+」は関係ない (スコア:0)
なんか「+」で異常動作するのが盲点だったように書かれているけど、
原因はシングルクォートのエスケープ漏れという基本中の基本だから。
Re:「+」は関係ない (スコア:0)
昔のシステムならそらありえるわな。
最近作られたようなのだとプリペアするのが当たり前当たり前当たり前!なんだから
普通のインジェクションが入り込む余地がない。
Webシステム系に入ったばかりで右も左もわからないような時期ですら
SQL文への代入はプリペアするなんて常識だったし。
WebのHello Worldレベルの基本。
Re: (スコア:0)
ODBCの初期の頃はドライバの挙動がおかしいDB型が変などなどの理由で
あえて使わなかったりもしたけど
ログに出す際はバインド変数からSQL文に展開したりするけどね