[Seasar-user:21003] Re: Seasar2のSQLインジェクションについて

higayasuo [E-MAIL ADDRESS DELETED]
2011年 9月 12日 (月) 10:17:13 JST


ひがです。

> @SQL や SQL ファイルの中でに、動的な変数においては、バインド変数となる
> /*引数名*/ や /*引数名.プロパティ名*/ を使う事で、SQLインジェクション
> 対策となる。
>
> ただし、特殊なケースにおいて、埋め込み変数コメントとなる /*$引数名*/を
> 使用した場合には、SQLインジェクション対策は自前で行なう必要がある。
>
> という理解でよろしいでしょうか。
>
はい、その理解で大丈夫です。


Seasar-user メーリングリストの案内