[seasar-dotnet:908] Re: S2Dao.NET SQLインジェクション対策

2008年 8月 1日 (金) 14:24:54 JST

久保(jflute)です。

清末さん、こんにちは

> なら、自動的にPreparedStatementが使われているので、SQLインジェ
> クション対策がされていると考えて大丈夫と思っておりますが、.NET版
> でも同様の対策がなされておりますでしょうか？

同様です。
しっかり、バインド変数コメント「/*変数名*/」を
使っていればパラメータはバインド変数として扱われます。

2008/8/1 KIYOSUE Minoru <[E-MAIL ADDRESS DELETED]>:
>
> いつもお世話になっております。
> 清末です。
>
> 弊社から、S2を利用した開発の提案を始め、早４つ目のプロジェクトが
> いよいよ始動となる運びとなりました。
>
> 提案先から改めて、「S2Dao.NETを利用した場合のSQLインジェクション
> の対策は？」との質問を受けました。
>
> 当然、開発アプリケーション側で、DTOのチェックを行う事で設計をすす
> めておりますが、S2Dao(Java)で、SQLコメント/*変数名*/を使っている
> なら、自動的にPreparedStatementが使われているので、SQLインジェ
> クション対策がされていると考えて大丈夫と思っておりますが、.NET版
> でも同様の対策がなされておりますでしょうか？
>
> いまさらながらの質問で大変恐縮に存じますが、よろしくお願い申し上
> げます。
>
>
> _______________________________________________
> seasar-dotnet mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-dotnet
>