間違いだらけのSQL識別子エスケープ

これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(本稿) SQL識別子エスケープのバグの事例 SQL識別子は結局どうすればよいか ということで、まずはSQL識別子のエスケープの失敗例について説明します。この失敗例はあくまで説明のために作ったもので、実際のものではありません。また、想定が「ありえない」と思われるかもしれませんが、意図的なものですのでご容赦いただければと思います。また、「間違いだらけの」というタイトルは、今回の題材が間違いだらけという意味であり、巷のSQL呼び出しがそうであるという意味ではありません。本稿に登場する人物と団

[sho]

なんべん攻撃されても不死鳥のように蘇る観光協会すごい！

[pmakino]

「地元のセキュリティ会社…「識別子のエスケープは世界の常識です」…「文字エンコーディングのパリデーションががが」」歩きスマホしながら道端でニヤついてしまった責任を取って欲しい

[lets_skeptic]

パラメータ以外は入力文字列を使わないように作るが正解。僕はいまのところそれで困ったことはない（ので幸せ）。

[koyancya]

地元のセキュリティ会社特定しますた

[ikosin]

"とある地域の観光協会"でピーンときたけど、machida も kanagawa も出てこなかった

[todesking]

天丼だ……

[m_shige1979]

多少、冗長になってもテーブル名などは変数にしないで対応するな、逆に定数はプリペアード対応しちゃう

[shinagaki]

「地元のセキュリティ会社」がジワジワ来る

[equinox79]

『識別子のエスケープは世界の常識です』ふいた

[andalusia]

季節が4つ固定ならいいけど、「お盆」とか「クリスマス」とかもっと増えたらホワイトリストも増やさないといけないよね、って地元のセキュリティ会社は言うんだろうな。（笑）

[takaesu]

徳丸先生

[Caligari]

よくこれだけデータ削除されて無事でいられたな…

[sutara_lumpur]

とてもわかりやすいです

[senahate]

なるほど。

[takc923]

大体SQLインジェクションのパターンとして知ってたけど、港だけは知らなかった。これはすごい。

[localdisk]

大人の意趣返し。

[nakunaru]

クラックされすぎｗ

[rna]

「結局、任意のテーブル名を外部から指定できる実装に問題がある」のだけど、例題として。

[masakitk]

うちはもしかしたら笑えないのではないか疑惑が。。。

[kasumani]

間違いだらけのSQL識別子エスケープ これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような

[raimon49]

教科書に出来そう。

[drbomb69]

必読の内容です。

[ymrl]

“識別子のエスケープは世界の常識です”

[Hiro_macchan]

エンジニアでない人間からすると、結局どういう要件を満たしてれば良いのかわからぬ。。。結局、業者丸投げか。

[sunin]

分かりやすい。

[ab_sn]

勉強になりますなあ

[ko-ya-ma]

いわゆるアンチパターンを物語で説明している

[kaz_hiramatsu]

自作の識別子エスケープする関数使うより言語内で妥当性が検証できる形式にすると。なるほど

[remix-cafe]

社長!とうとう我が社にも標的型攻撃がきましたよ。どうしますか？！ほほぉー、我が社も狙われる会社になったか(ホクホク)

[HolyGrail]

地元のセキュリティ会社さん……

[hamyteth]

一連の流れにワロタ。だがわかりやすくていい。

[NOV1975]

おこなのかな？

[ww_zero]

続編に期待