ルーレットが回るように毎日が過ぎていく

田中昌利がTwitterで書けない長い文章をいろいろ書きます。

prepareStatement メソッド

修行 IT

情報セキュリティスペシャリスト試験(SC)対策5
数年ぐらいJavaやってなくても、なんとなく回答できた問題。
まあ、上にC++のソースが書いていて、そのまま写しただけなんですけど。
SQLインジェクション対策で、このメソッドを使う事が推奨されています。
昔はベタベタに判定して変換するか、正規表現で変換していた気がします。
SQL特殊文字エスケープするのが基本。例外もあるかな?
細かく書き出したら寝れないので省略。


プログラミングしていない人は、いまいち実感できないと思いますので、今ならフリーのDBをさくっとインストールして、実行すれば意味が分かると思います。
さっき、簡単にググりましたが、いろんな例が簡単に出てきます。

今夜分かるSQLインジェクション対策
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

これはJavaでは無いですけどね(笑)