SQLインジェクション対策の極意はSQL文を組み立てないことにあり (1/4)：CodeZine（コードジン）

2016/01/29 76 users CodeZine SQLインジェクション対策 極意 SQL文

文字列O'Reillyに含まれるアポストロフィ（シングルクォート）により、author=の後の文字列が終端し、あとに続くReilly' が文字列の外にはみ出しています。上記はSQL文として正しくないためにエラーになります。しかし、そのあとに続くReillyの箇所に、SQL文としてエラーにならないようにつじつまを合わせると、攻撃者が元のSQL文の意味を変えることができます。これが SQLインジェクシ... 続きを読む