SQLインジェクションの本質……安心するためにはどうすれば良い? ' OR 1 = 1; -- #phpcon2015 #phpcon2015_2
徳丸先生に怒られない、動的SQLの安全な組み立て方
Makoto Kuwata
https://joind.in/talk/view/15337
こさ
@cosax
徳丸先生が「徳丸先生に怒られない、動的SQLの安全な組み立て方」の実況しているの面白すぎるので一つくらい徳丸先生が激怒しそうなネタを埋め込んでおいてほしい……
2015-10-03 13:52:50
debiru
@debiru
SQL インジェクションを起こすのは、そもそも SQL を文字列で書くからだ論 #phpcon2015 pic.twitter.com/Vk5S59mW1S
2015-10-03 13:53:41
拡大
コーラ愛飲者S
@Cokeesque_DF
Q.なぜSQLインジェクションが発生するのか? A.文字列連結でSQLを組み立ててるから Q.なぜ文字列連結でSQLを組み立てるのか? A.SQLを文字列で指定できてしまうから #phpcon2015
2015-10-03 13:54:09
debiru
@debiru
SQL テンプレートに直接 PHP を埋め込もうとしても、PHP 処理命令開始区切り子 <?php の文字がエスケープされるので埋め込めない #phpcon2015
2015-10-03 13:59:35
てきめん
@youkidearitai
でも、考えてみたらRDBMSは構文木を作ってるんだよね…?それだったらそれをPHPで作って送信しても良いんじゃないかというのは思うなぁ #phpcon2015
2015-10-03 14:08:11