namaza https://blog.hatena.ne.jp/namaza/ 雑記 https://ytrewq.hatenablog.com/ セキュスペ SQLインジェクション 根本的な対策 SQL 文の組み立ては全てプレースホルダで実装する プレースホルダに実際の値を割り当てる処理はバインドと呼ばれる。 DBエンジンがバインドする静的プレースホルダが望ましい。 SQL 文を動的プレースホルダで生成する場合は、DBエンジンのAPIを用いる。 APIを使うと以下の注意をしなくて良くなる 文字列型の注意 値をエスケープしないと、値を囲むシングルクォートがエスケープされてしまう危険性 数値型の注意 値を数値型にキャストするなど、値が数値型であることを確実にする 保険的な対策 エラーメッセージをそのままブラウザに表示しない。 データベースの種類やエラー… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fytrewq.hatenablog.com%2Fentry%2F2017%2F09%2F29%2F001853" title="安全なウェブサイトの作り方 脆弱性対策 要約 - 雑記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2017-09-29 00:18:53 rich https://ytrewq.hatenablog.com/entry/2017/09/29/001853 1.0 100%