[pgsql-jp: 39682] Re: PQexecParams()はSQLインジェクションの対策になっていますか?
Hiroshi Saito
z-saito @ guitar.ocn.ne.jp
2008年 12月 15日 (月) 22:17:30 JST
さいとうです。
こんにちは、
情報セキュリティセミナーの資料ですが、すこしでもお役に立てればと思います。
http://www.ipa.go.jp/security/event/2008/isec-semi/documents/2008tech2_v2.pdf
----- Original Message -----
From: "Morita Kazuro" <morita @ yuki.ad.jp>
> お世話になっております。森田と申します。
>
> 先日、私が管理するサイトでSQLインジェクションに対する対策ができているか聞かれて、
> ユーザー入力の文字列をDBに入れる時は必ず PQexecParams() を使うようにしているので心配ない。
> と答えたのですが、この認識で問題ないでしょうか?
>
> PQexecParams() を使っていても危険な攻撃を受ける可能性があったらお教えいただけないでしょうか?
>
> よろしくお願いします。
>
pgsql-jp メーリングリストの案内