• はてなブックマーク
  • テクノロジー
  • SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば
  • Twitterでシェア
  • Facebookでシェア

SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

テクノロジー カテゴリーの変更を依頼 記事元:d.nekoruri.jp
適切な情報に変更
216users がブックマーク コメント 30
    共有

    • 記事へのコメント30

    • 注目コメント
    • 新着コメント
    その他
    オーナーコメントを固定しています
    nekoruri
    オーナー この頃流行りのSQLエスケープに関してこんな感じでまとめたので、突っ込み募集中。

    その他
    rti7743
    既存の処理系がもっと使いやすくなって、何も考えずに適当に書いたコードが一番安全になってくれたらいいなと思います。

    その他
    theatrical
    "SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。"

    その他
    unirun
    .NETな僕はパラメタライズドクエリ派()

    その他
    pullphone
    概ねこんな姿勢でいいと思う

    その他
    ww_zero
    内容的には異論無い。しかし「プリペアドステートメント大勝利!希望の未来へレディゴー!」ではないのでこんなことで勝ち負け云々言うのはどうでもいい。お客様にご満足いただけることこそが俺たちの勝利だよ

    その他
    deamu
    「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。」 マジこれに尽きる。

    その他
    オーナーコメントを固定しています
    nekoruri
    オーナー nekoruri この頃流行りのSQLエスケープに関してこんな感じでまとめたので、突っ込み募集中。

    2013/12/11 リンク

    その他
    hiro14aki
    [SQL]エスケープ

    その他
    naga_sawa
    プレースホルダ使え/の原則で原則は大丈夫なはず

    その他
    dagama
    likeも'% || ? || %'とか書いて値だけメタ文字エスケープする感じになるよね

    その他
    masaru_b_cl
    ただし、likeを覗いて

    その他
    KAZUMiX
    エスケープと関係無いけど、 IntelliJ IDEA で DB の設定ちゃんとやっとくとエディッタが認識したプリペアドステートメントを利用してクエリー実行できて便利だった

    その他
    ghostbass
    位置パラメータしか使えなくて泣いたことは何度もあるけど。

    その他
    houyhnhm
    like検索が頻繁に発生するなら、検索用に項目作っちゃったりしますね。

    その他
    ya--mada
    SQLに限らず、オレオレとかナンチャッテは禁止して欲しい。ナンチャッテJSONでエスケープ出来ていなくて嵌められた記憶が甦る。

    その他
    UDONCHAN
    エスケープつらい

    その他
    kabochatori
    そもプリペアドステートメントはセキュリティ目的ではないけども副次的にその効果もあるってだけなんだよね。最初からセキュリティを目的としたLIKEエスケープその他も抑えた標準な機構があるといいのにね。

    その他
    ww_zero
    ww_zero 内容的には異論無い。しかし「プリペアドステートメント大勝利!希望の未来へレディゴー!」ではないのでこんなことで勝ち負け云々言うのはどうでもいい。お客様にご満足いただけることこそが俺たちの勝利だよ

    2013/12/12 リンク

    その他
    NOV1975
    生まれてこの方プログラムからのSQLはプレースホルダしか使ったことがありません(若干嘘

    その他
    hidea
    はじめてDBを操作するアプリを作った時にものすごくびくびくしながら作ったのを思い出した。

    その他
    luccafort
    タイトルに釣られてなにおぅ!と意気揚々と見に来たら書いてあることが悉く正論で正座でハイソノトオリデゴザイマス!っていいだすくらいには良いまとめ。

    その他
    Kenji_s
    LIKE句でエスケープするから結局ほぼ全員が負けるという状況に(w 必要なエスケープ関数がすべて標準で提供されているべきなんでしょうね

    その他
    tsucchi1022
    正論。良いまとめだと思う

    その他
    muddydixon
    「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです」ここにすべてが詰まってる

    その他
    YaSuYuKi
    SQL Server2000にJDBC経由でクエリを発行しようとした時、「select top 1 * from a」の「1」をプレースホルダにしたらクエリがこけた

    その他
    Itisango
    “LIKE句に食わせる文字列値の中の % や正規表現のメタ文字など、「文字列の中身」で必要なエスケープはもちろん必要ですし、そこから先こそこそがアプリケーションの責務だと考えます。”

    その他
    stk2k
    やはりプレースホルダが基本ですよね。テーブル名は動的にしなくても大抵モデルの切り替えで対応できますが、問題は記事の通りORDER などの部分。

    その他
    miragestlike
    負けです。

    その他
    koyancya
    それはちょっと怖そう -> "その通りに入力バリデーションを実施していれば、やはりエスケープの必要は無いはずです"

    その他
    rti7743
    rti7743 既存の処理系がもっと使いやすくなって、何も考えずに適当に書いたコードが一番安全になってくれたらいいなと思います。

    2013/12/12 リンク

    その他
    deamu
    deamu 「SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。」 マジこれに尽きる。

    2013/12/12 リンク

    その他
    theatrical
    theatrical "SQLに限らず「エスケープは難しい」という認識は、全てのエンジニアが持っているべきです。"

    2013/12/12 リンク

    その他
    unirun
    unirun .NETな僕はパラメタライズドクエリ派()

    2013/12/11 リンク

    その他
    gnety
    like文を使うときはエスケープせずにできたっけ?SQL標準にない文を使うときもプレースホルダ使えないときがあった

    その他
    pullphone
    pullphone 概ねこんな姿勢でいいと思う

    2013/12/11 リンク

    その他
    wdoomer
    わしエスケープしたい

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

    オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基だけ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.