はじめに

SQL アンチパターン第19章を読んだの続き

SQLアンチパターンについて

SQLアンチパターン

• 作者:Bill Karwin
• 出版社/メーカー: オライリージャパン
• 発売日: 2013/01/26
• メディア: 大型本

第20章　SQLインジェクション

ここら辺もフレームワークがよしなにやってくれる箇所だから意識していないが、意識しなければ。

難しいのは、望まない操作を許可しないように、ソフトウェアをセキュアにすることです

大事。

対応策として用意されているのが以下。

• 値のエスケープ
  • バックスラッシュでエスケープする
• プリペアドステートメント
  • queryの前処理時にパラメータを残す方法

初学時にプリペアドステークスで対策をするように言われたことを思い出した。

安全なSQLコードを保証するフレームワークはありません。

この一言で、改めてアンチパターンは知識として持っておくべきだと感じた。

また、「20.5.1 入力のフィルタリング」や「20.5.4 ユーザーの入力をコードから隔離する」に関しては普段から慣れてできている。改めて確認することができてよかった。

まとめ

この章の内容もある程度知識として持っているものだった。
ただ、フレームワークを使い慣れているとどうしてもそこまで深くは意識しないので、アンチパターンに対して正しい対策と、レビューを心がけようと思った。

初学者時に、プリペアドステートメントでSQLインジェクション対策を行なっていたことを思い出した。