徳丸浩の日記 - SQLインジェクション対策 - SQLエ... tips  

Hello, Guest! | Sign in | help | okyuu.com

okyuu.com / tips / Security / Vulnerability / 徳丸浩の日記 - SQLインジェクション対策 - SQLエ...

tips

Feed

2.5
(0 votes)

徳丸浩の日記 - SQLインジェクション対策 - SQLエスケープにおける「\」の取り扱い

20080602

SQLエスケープにおける「\」の取り扱い 昨日のエントリ(徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考)は思いがけず多くの方に読んでいただいた。ありがとうございます。その中で高木浩光氏からブクマコメントを頂戴した。 \がescape用文字のDBで\のescapeが必須になる理由が明確に書かれてない。\'が与えられたとき'だけescapeすると…。自作escapeは危うい。「安全な…作り方」3版で追加の「3.失敗例」ではDBで用意されたescape機能し...

  • comment count (0)
  • clip count (0)
  • access count (2120)

  • ff_jk
  • ff_jk
  • posted at:2008/06/02 21:25 

Shift_JISでの問題
ここまでならまだよい。データベースの種類によっては「\」のエスケープを忘れないようにしようで済む。ところが、文字「\」を表す文字コード 0x5cがShift_JISの2バイト目にも現れうることから話がややこしくなった(一方、「'」を表す0x27の方はShift_JISの二バイト目に現れない)。0x5cを二バイト目に含む文字は多数あるが、例として以下を紹介する。



これは 困難な問題ですね 
 RDBでShift_JISを使わないというのが 対処方法でしょうか?

comment

 
(required to sign in)
     

related

choose a provider