[pgsql-jp: 36851] Re: client encoding と PQexec

[Tatsuo Ishii]

石井です．

> > 以前SJISで同じ現象が発生してDBDのソースを調査したのですが
> > DBDのquote処理は、マルチバイト文字を考慮してないのでSJIS文字
> > 2バイト目の\までエスケープしてしまうため、SJISでDBI::DBDを使って
> > はダメだ。という結論に達しました。
> 
> 　重村氏とやんややんやと議論してみたのですが、彼も DBD::Pg が SJIS を
> 意識した quote をしないのがダメ、といっています。というよりも、quote
> をサーバ側に任せないで自前でやっているのがダメ、というのが根本的なとこ
> ろな気がしています。

サーバ側というのは，PostgreSQLのバックエンド側ということですか？でも，
クライアント側でescape処理をしなかったら，SQLインジェクションがやり放
題になりませんか？
--
Tatsuo Ishii
SRA OSS, Inc. Japan