[pgsql-jp: 39687] Re: PQexecParams()はSQLインジェクションの対策になっていますか?
Morita Kazuro
morita @ yuki.ad.jp
2008年 12月 16日 (火) 19:37:51 JST
さいとう様
たいへん勉強になる資料をご紹介くださりありがとうございました。
----- Original Message -----
From: "Hiroshi Saito" <z-saito @ guitar.ocn.ne.jp>
To: "PostgreSQL Japanese Mailing List" <pgsql-jp @ ml.postgresql.jp>
Sent: Monday, December 15, 2008 10:17 PM
Subject: [pgsql-jp: 39682] Re:PQexecParams()はSQLインジェクションの対策になっていますか?
> さいとうです。
>
> こんにちは、
>
> 情報セキュリティセミナーの資料ですが、すこしでもお役に立てればと思います。
> http://www.ipa.go.jp/security/event/2008/isec-semi/documents/2008tech2_v2.pdf
>
> ----- Original Message -----
> From: "Morita Kazuro" <morita @ yuki.ad.jp>
>
>
>> お世話になっております。森田と申します。
>>
>> 先日、私が管理するサイトでSQLインジェクションに対する対策ができているか聞かれて、
>> ユーザー入力の文字列をDBに入れる時は必ず PQexecParams() を使うようにしているので心配ない。
>> と答えたのですが、この認識で問題ないでしょうか?
>>
>> PQexecParams() を使っていても危険な攻撃を受ける可能性があったらお教えいただけないでしょうか?
>>
>> よろしくお願いします。
>>
>
pgsql-jp メーリングリストの案内