dblink でのサニタイズ
2004年8月5日 コンピュータ朝、出勤途中の自転車で。
近々リリースのシステムのことを考えていた。
漠然と、セキュリティの不安がまだあるなぁ。。。
・・・ボーっと考えていたらふと思いついた。
dblink で投げる query は文字列でつなげて作るわけだから、
サニタイズしていないと・・・・わぁ、見落としていたぁ。
頑張って直さないと。
PostgreSQL には文字のエスケープする関数が
ちゃんとあったよなぁ。。。
動的に SQL文を作る場面があるところは注意しないと。
MS SQL の openquery とかでも同様かな?
あと、PostgreSQL の場合は prepare してから
値を突っ込むってのが正しい回避法かも。
SQL文の動的生成は可能な限りさけるために。
---------------------
(平成18年2月3日追加)
2004年8月6日に続く
近々リリースのシステムのことを考えていた。
漠然と、セキュリティの不安がまだあるなぁ。。。
・・・ボーっと考えていたらふと思いついた。
dblink で投げる query は文字列でつなげて作るわけだから、
サニタイズしていないと・・・・わぁ、見落としていたぁ。
頑張って直さないと。
PostgreSQL には文字のエスケープする関数が
ちゃんとあったよなぁ。。。
動的に SQL文を作る場面があるところは注意しないと。
MS SQL の openquery とかでも同様かな?
あと、PostgreSQL の場合は prepare してから
値を突っ込むってのが正しい回避法かも。
SQL文の動的生成は可能な限りさけるために。
---------------------
(平成18年2月3日追加)
2004年8月6日に続く
Tweet
| 
コメント