初めての質問です。よろしくお願いします。
今現在、SQLインジェクションというものが問題になっていますよね
いろいろなサイトを回って調べて見たのですが、具体的な対策として、「'(シングルクォーテーション)」などの特殊文字を確実にエスケープすること、くらいしか対策が書かれておりません。
特殊文字のエスケープさえしっかりしておけばSQLインジェクションは発生しない、という印象を受けたのですが、SQLインジェクションがおきてしまったサイトではエスケープ処理をしていなかったということなのでしょうか?
それとも、エスケープ処理をしていても何らかの方法で不正なSQLの命令を実行されてしまうのでしょうか?
どうにもわからなくて困っているので、どうかよろしくお願いいたします。
No.2ベストアンサー
- 回答日時:
がると申します。
> 特殊文字のエスケープさえしっかりしておけばSQLインジェクションは発生しない、という印象を受けたのですが、SQLインジェクションがおきてしまったサイトではエスケープ処理をしていなかったということなのでしょうか?
Yesです。
或いはもうちょっとよくある現場状況としては「エスケープ処理に抜け落ちがあった(ある1項目だけちゃんと出来てなかった、とか)」なんてのもあります。
んと…気にされているのは「エスケープしてなお危ないケースがあるか」というあたりでしょうか?
だとすると、少なくとも私が知っている範囲内では「No」です。
ただ、「すべての項目を」常にちゃんとエスケープする、という部分が案外に破られやすいのですが。
個人的には「SQL文を作成するところはすべて一箇所に集約して漏れないようにする」のが一番よろしかろうと思います。
以上で回答になりますでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- SQL Server [SQLServer] テーブル名からカラム名を取得する 1 2022/08/23 21:20
- Excel(エクセル) EXCELの「接続」のSQLのコマンド文字列にて、セルから任意の数値を利用したい 2 2023/03/09 16:43
- MySQL #1062 - '0' は索引 'PRIMARY' で重複しています。とでています。 1 2023/01/01 06:13
- PHP 掲示板のセキュリティについてアドバイスお願い致します 1 2023/08/11 20:44
- その他(データベース) 更新クエリをリンクデータベーステーブルに実行し実行時エラー3362固有インデックスに重複する値が含ま 1 2022/09/21 11:44
- MySQL 書籍の内容はまともでしょうか? 1 2023/01/22 03:07
- Access(アクセス) アクセス 有効なフィールド名、または式として認識できませんのエラー 3 2022/08/19 11:53
- MySQL PhpMyAdminで作成して実行せよ。 東京23区を、皇居を中心とした4つのエリア(南東, 南西, 1 2023/06/11 11:58
- Access(アクセス) Access VBAで条件を追加する(書き込む)場所 2 2022/03/23 12:05
- SQL Server これをSQL文で出来るでしょうか? 1 2023/03/26 02:16
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
SQL文 複数実行
-
SQLローダーCSV取込で、囲み文...
-
count関数の値をwhere句で使用...
-
select文の実行結果に空白行を...
-
<SQL>重複しているデータの場合...
-
ファイルの漢数字の順番につい...
-
Oracleで「文字が無効です」の...
-
SQLで、同じ値が何回連続す...
-
int型フィールドにnullを登録で...
-
配列に指定した値が含まれてい...
-
引数によってwhere句を切り替え...
-
oracle DB内のデータを増幅す...
-
【PL/SQL】FROM区に変数を使う方法
-
「数字で始まらない」ものを抽...
-
MySQLで特定のグループの上位3...
-
PHP+MySQLで月ごとの数量を表...
-
Excelのオートフィルタでソート...
-
【SQL】違うフィールド同士の集...
-
デフォルトでデータが表示され...
-
Selectした時のレコードの取得順
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
SQL文 複数実行
-
SQLインジェクションが発生する...
-
ntext更新時にエラーが出ます
-
update実行時の、追加情報の取...
-
MysqlのSQL文について
-
LIKE文でエスケープ文字自体を...
-
access2007で、フィルタ検索で...
-
SQLローダーCSV取込で、囲み文...
-
select文の実行結果に空白行を...
-
テーブルの最後(最新)のレコー...
-
単一グループのグループ関数で...
-
【PL/SQL】FROM区に変数を使う方法
-
SQL*Loader Append
-
count関数の値をwhere句で使用...
-
Oracleで「文字が無効です」の...
-
where句中のtrim関数について
-
AccessのSQL文で1件のみヒット...
-
group byの並び順を変えるだけ...
-
2つの列が同じ値の行を取得するSQL
-
文字2桁、3桁交じりの文字列...
おすすめ情報