アカウント名:
パスワード:
> データベースのデータをサニタイズするプロセス
誤訳だと思ったらソースがそうだった。正しくはたぶんSQLエスケープ処理ですよね。「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。(プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。いつまでSQLにエスケープ処理って言葉が残るのだろうか。動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。
#初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。#パラメータライズドクエリのが全然楽なのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
サニタイズ? (スコア:1)
> データベースのデータをサニタイズするプロセス
誤訳だと思ったらソースがそうだった。
正しくはたぶんSQLエスケープ処理ですよね。
「サニタイズ」が正しいと思ってるならそりゃデータ流出するわな
Re:サニタイズ? (スコア:0)
SQLの検証はパラメータライズドクエリ使え、で話は全て完了するんじゃないかな。
(プリペアドステートメント? プレースホルダ? 呼称がいくつもあるのも普及を妨げている原因の一つだと思う)
というか、基本そっちが推奨のはずで、話題にすら出ないのがびっくり。
いつまでSQLにエスケープ処理って言葉が残るのだろうか。
動的にテーブル名変えるSQLとかなら仕方ないが、そういうのはそもそも仕様から直した方が良いと思う。
#初心者が見ると、文字列結合してSQL自前のラッパクラスで検証する方が楽に見える様だ。
#パラメータライズドクエリのが全然楽なのに。