徳丸浩の日記 - SQLインジェクション対策 - SQLエ... ノウハウ(Tips)  

こんにちは ゲスト さん | ログイン | ヘルプ | okyuu.com Feed Feed

総合トップ / ノウハウ / セキュリティ ノウハウ / 脆弱性 ノウハウ / 徳丸浩の日記 - SQLインジェクション対策 - SQLエ...

ノウハウ

Feed
クリップに追加

0

0人
の評価

徳丸浩の日記 - SQLインジェクション対策 - SQLエスケープにおける「\」の取り扱い

20080602

SQLエスケープにおける「\」の取り扱い 昨日のエントリ(徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考)は思いがけず多くの方に読んでいただいた。ありがとうございます。その中で高木浩光氏からブクマコメントを頂戴した。 \がescape用文字のDBで\のescapeが必須になる理由が明確に書かれてない。\'が与えられたとき'だけescapeすると…。自作escapeは危うい。「安全な…作り方」3版で追加の「3.失敗例」ではDBで用意されたescape機能し...

  • コメント数 (0)
  • クリップ数 (0)
  • アクセス数 (3413) 


Shift_JISでの問題
ここまでならまだよい。データベースの種類によっては「\」のエスケープを忘れないようにしようで済む。ところが、文字「\」を表す文字コード 0x5cがShift_JISの2バイト目にも現れうることから話がややこしくなった(一方、「'」を表す0x27の方はShift_JISの二バイト目に現れない)。0x5cを二バイト目に含む文字は多数あるが、例として以下を紹介する。



これは 困難な問題ですね 
 RDBでShift_JISを使わないというのが 対処方法でしょうか?

コメントする
Category_icon総合トップへ

徳丸浩の日記 - そろそろSQLエスケープに関して一言いっ... 次のノウハウ >>

おススメのノウハウ

0
0
コメント
徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
(2008/06/03 11:52) by radish
0
0
コメント
memcached 1.4の到来:第4回 memcachedのCASとmixiでの運用動向|gihyo.j...
(2009/09/28 11:35) by prylin
0
0
コメント
おさかなラボ - 便利過ぎるvim + マウスをscreenで使う
(2008/06/11 21:00) by okubee
1
0
コメント
CSSXSSを改良した?手法でmixiのpost_keyを抜き取るデモを作りました - IE5で動くjQu...
(2008/11/12 13:40) by ugit
1
0
コメント
なぜPHPアプリにセキュリティホールが多いのか?:第21回 文字エンコーディングとセキュリティ(3)|gi...
(2009/01/16 11:20) by hothot
0
0
コメント
PHPでのセキュリティ対策についてのメモ - Liner Note
(2008/10/27 13:19) by kiske
1
0
コメント
echo $'\n' で改行が表示できる - reroの日記
(2008/10/13 23:29) by retz5
0
0
コメント
WAS Forum Developer Dayに行ってきました - note-phper
(2008/07/07 11:43) by kiske
0
0
コメント
徳丸浩の日記 - XSS - 今こそXSS対策についてまとめよう
(2008/09/04 10:50) by kiske
0
0
コメント
Ajax パフォーマンスの分析
(2008/06/07 10:11) by mah
あなたの問題は解決しましたか?

okyuu.comはITエンジニアのための質問サイトです。あなたの質問に答えてくれるエンジニアがいるかもしれません。なんと回答率は89

はじめての方へ
Link_icon_topページトップへ

回答率(2010/03/14現在)
89%
今すぐ質問してみる

カテゴリ

Rb_back_iconノウハウトップへ戻る
Rb_back_iconセキュリティ  (99)
Rb_list_icon総合 脆弱性 カテゴリへ
Rb_list_iconQ&A 脆弱性 カテゴリへ 
Rb_list_iconニュース 脆弱性 カテゴリへ 

特集

okyuu.comポイント獲得を競って、話題の賞品をゲットしよう! okyuu.comポイント獲得を競って、話題の賞品をゲットしよう!
新しい評価指標「okyuu.comポイント」を多く獲得して、話題の賞品を手に入れよう!
ソフトウェアを公開するのが楽しい 岡野真也さん ソフトウェアを公開するのが楽しい 岡野真也さん
ソフトウェアを公開するのが面白くてたまらない。作っては公開というのが彼のやり方だが、若きエンジニアにとってはそれくらいがちょうどいいのかもしれない。
コンピュータは世界を広げる実験道具 西尾泰和さん コンピュータは世界を広げる実験道具 西尾泰和さん
プログラミング、サイエンス、デザイン マルチな彼にとって、コンピュータは未知の世界を広げるための道具であることに変わりはない。今後の展開が楽しみだ。
理想のOS開発に人生を賭ける 川合秀実さん 理想のOS開発に人生を賭ける 川合秀実さん
OSASK計画代表の川合さんは、人生の1秒を惜しみながら独自OSの開発にいそしむ。
「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん 「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん
日本MySQLユーザ会の副代表を務める坂井恵さん。技術の現場で会社運営に興味を持ち、独立起業の道を選んだエンジニアだ。
夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん 夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん
ソニーの情報シスから日本を代表するMySQLのコンサルタントに。彼が魅せられたオープンソースの世界とは?
お友達紹介機能をつかってポイントGET! お友達紹介機能をつかってポイントGET!
お友達を招待してみんなでokyuuポイントをGETしよう!
オープンソースの活動「すごく、いい」 前坂徹さん オープンソースの活動「すごく、いい」 前坂徹さん
オープンソースプロジェクトで活躍する若き新鋭。コミュニティ活動の感想を尋ねると「すごく、いい」と満面の笑み。
コンピュータは創造力を刺激する 奥一穂さん コンピュータは創造力を刺激する 奥一穂さん
天才エンジニアとしての国際的な評価も高い奥一穂さん。世間からのスマートだとの評価には「自分は広く浅くだから」とさらり。
25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん 25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん
25歳でプログラマーに転向した。いまやjava-jaを立ち上げるなど精力的なエンジニアだ。
Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん
大学時代、偶然手にしたMacが諸橋さんにITエンジニアの道を開いた。
"シャイモード"機能を活用しよう! "シャイモード"機能を活用しよう!
こんな質問してもいいのかな?そんなときは"シャイモード"で投稿!
RX-7とサーバ運用の意外な共通点 並河祐貴さん RX-7とサーバ運用の意外な共通点 並河祐貴さん
Amazon EC2を巧みに使いこなすTIS/SonicGardenの並河さん。「腕一本で食べていきたい」とITエンジニアを目指した。
「ブラックボックスは不安でしょ」 ひろせまさあきさん 「ブラックボックスは不安でしょ」 ひろせまさあきさん
エンジニアが楽しくて仕方がない。オープンソースを組み合わせてシステムを作り上げるのが彼の矜持のようだ。
Perlの地位向上を胸に 牧大輔さん Perlの地位向上を胸に 牧大輔さん
endeworksの牧大輔さんは社団法人JPAを立ち上げ、Perlの企業利用を促進したいという。
偶然からCTOへ ライブドアCTO池邉智洋さん 偶然からCTOへ ライブドアCTO池邉智洋さん
池邉智洋さんはライブドアCTOの技術メンバーを先頭で率いる。「まずはやって見せることも大事」と語る。