例えば、Ruby では、
変数a を使って、上の2つのように文字列を連結させたり、
式展開してから埋め込んだりしても、
変数aの内容をユーザーからもらった、危険な文字列の場合、SQL injection される
例えば、WHERE (id = 1 OR 1 = 1)なら、
true となるので、すべてのレコードが取得される!
それを最後のように、place holder, ? を使えば、
危険な文字列をエラーにできる
こういうやり方が、Ruby on Rails などのフレームワークを使った、ウェブ開発の基本
id = '1 OR 1 = 1'
User.where( "id = " + id )
User.where( "id = #{id}" )
User.where( "id = ?", id )
探検
【まず1嫁】くだすれPython(超初心者用) その55
■ このスレッドは過去ログ倉庫に格納されています
801799
2021/11/21(日) 21:44:07.52ID:zYUtuXs9■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 中国軍機レーダー照射、トランプ氏沈黙突く 試される日本外交 ★4 [蚤の市★]
- 元プロ野球選手・堂上隼人(43)を20代女性2人へのわいせつ未遂容疑で8回目の逮捕…これまでの被害者は10代・20代の女性11人に [Anonymous★]
- 【速報】 米トランプ政権声明 「中国が台湾を奪おうとする、いかなる試みも阻止する」 中国「レッドラインだ」 ★2 [お断り★]
- 【高校野球】なぜ『7回制』は反対多数でも止まらないか… 高野連が「全員の命」守るために貫く伝統より改革の姿勢 [冬月記者★]
- 「だからデビューできないんだよ」やす子、ジュニアへの“不適切発言”が炎上《何がわかる》ファンの逆鱗 [Anonymous★]
- 【テレビ】石破前首相 中国レーダー照射「フェーズ上がってる」と指摘も「日本の世論が激高するのは避ける必要が…」 [少考さん★]
- 【高市悲報】自衛隊「実は事前に現場海域で中国軍から空母での発着訓練をすると通告がありました」え…?😨 [931948549]
- 鈴木農水大臣「おこめ券は消費者が買いたいだけ買えないとの声に対応するもの、コメの値段関与、利益誘導をすることは一切ない」 [256556981]
- 【悲報】山里亮太(南海キャンディーズ)さん [329329848]
- 「JET STREAM」高市堕ち [256556981]
- 中国のネトウヨ 「よくやった!支持する!小日本(日本への蔑称)のすべてを反対すべきだ!」 [147827849]
- 【高市悲報】日本が🇨🇳輸出規制したフォトレジスト、早速韓国企業が中国に売り込みかけて日本の対抗手段もうなくなるwww [709039863]