SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

2013/12/11 221 users プレースホルダ プリペアードクエリ おきば エスケープ SQL

「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめエスケープとプレースホルダをめぐる議論 - TogetterまとめSQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - TogetterまとめIPAの「安全なSQLの呼び出し方」が安全になっていた ... 続きを読む

DSAS開発者の部屋:MySQL を PDO で使うときは ATTR_EMULATE_PREPARES を設定しよう

2011/12/01 69 users PDO prepare execute パフォー MySQL

「DSAS for Social を支える技術」というネタでadvent calendar に挑戦します。 methane です。 PDOで MySQL を使うときは、みなさん $stmt = $con->prepare("..."); して $stmt->execute($values); とかしてプリペアドステートメントを利用されていると思います。 実は、このプリペアドステートメント、パフォー... 続きを読む

NULLとUNKNOWNを積極的に活用するSQLの書き方

2005/03/21 78 users Unknown null DBMS SQL インジェクション

312 ：1/3：05/03/12 03:17:26 ID:??? 突然ですが，面白い SQL を思いついたので，ご意見を頂きたいです．興味を持たれた方は使ってみてくだちい。 一般的に，SQL の発行は，プリペアドステートメントを使う方がよいとされている．その理由は， DBMS のキャッシュが良く効く． SQL インジェクション等の危険が避けられる，等． しかし，webアプリの検索フォームなどでは... 続きを読む