prepareStatement メソッド
情報セキュリティスペシャリスト試験(SC)対策5
数年ぐらいJavaやってなくても、なんとなく回答できた問題。
まあ、上にC++のソースが書いていて、そのまま写しただけなんですけど。
SQLインジェクション対策で、このメソッドを使う事が推奨されています。
昔はベタベタに判定して変換するか、正規表現で変換していた気がします。
SQLの特殊文字をエスケープするのが基本。例外もあるかな?
細かく書き出したら寝れないので省略。
プログラミングしていない人は、いまいち実感できないと思いますので、今ならフリーのDBをさくっとインストールして、実行すれば意味が分かると思います。
さっき、簡単にググりましたが、いろんな例が簡単に出てきます。
今夜分かるSQLインジェクション対策
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
これはJavaでは無いですけどね(笑)