高木先生からの今夜分かるSQLインジェクション対策への意見 その2
また上野宣か。顔見知りなのでズバリいくことにする。
はい、お手数をおかけします。
次回から指摘していただけるようでしたら、私信で頂けると対応も早くできるので嬉しいところです。
対策部分は高木先生の指摘を加味して修正することにします。ありがとうございます。
●Webアプリケーションの対策 ・入力値のSQLのを埋め込むことろで特殊文字を適切にエスケープ入力値=プログラム(プロセス)に外部から入ってくるもの・シフトJISの場合には1バイト文字を整理 ・SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 ・攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 ・バインドメカニズムの利用
技術文書として駄目なのかもしれませんが、他に指摘されている点はこのコラム欄では不適切ではないと判断し、修正する必要はないと判断しました。