[seasar-dotnet:909] Re: S2Dao.NET SQLインジェクション対策

[kubo]

久保(jflute)です。

> 提案先から改めて、「S2Dao.NETを利用した場合のSQLインジェクション
> の対策は？」との質問を受けました。

お客様からのフォーマルな問い合わせということなので、
確認要素を提示しておきます。
(１コミッタの返事では足りないですよね)

S2Daoの処理はSeasar.Dao.Impl.DaoMetaDataImplから
追っていくことでほぼ全ての処理が網羅できます。
その中で登場する以下のクラス

Seasar.Extension.ADO.Impl.BasicHandlerのBindArgs()メソッド
Seasar.Extension.ADO.Types.BaseValueTypeのBindValue()メソッド

あたりを見ると、ADO.NETレベルでどういったハンドリングを
しているかを確認することができると思います。

2008/8/1 kubo <[E-MAIL ADDRESS DELETED]>:
> 久保(jflute)です。
>
> 清末さん、こんにちは
>
>> なら、自動的にPreparedStatementが使われているので、SQLインジェ
>> クション対策がされていると考えて大丈夫と思っておりますが、.NET版
>> でも同様の対策がなされておりますでしょうか？
>
> 同様です。
> しっかり、バインド変数コメント「/*変数名*/」を
> 使っていればパラメータはバインド変数として扱われます。
>
> 2008/8/1 KIYOSUE Minoru <[E-MAIL ADDRESS DELETED]>:
>>
>> いつもお世話になっております。
>> 清末です。
>>
>> 弊社から、S2を利用した開発の提案を始め、早４つ目のプロジェクトが
>> いよいよ始動となる運びとなりました。
>>
>> 提案先から改めて、「S2Dao.NETを利用した場合のSQLインジェクション
>> の対策は？」との質問を受けました。
>>
>> 当然、開発アプリケーション側で、DTOのチェックを行う事で設計をすす
>> めておりますが、S2Dao(Java)で、SQLコメント/*変数名*/を使っている
>> なら、自動的にPreparedStatementが使われているので、SQLインジェ
>> クション対策がされていると考えて大丈夫と思っておりますが、.NET版
>> でも同様の対策がなされておりますでしょうか？
>>
>> いまさらながらの質問で大変恐縮に存じますが、よろしくお願い申し上
>> げます。
>>
>>
>> _______________________________________________
>> seasar-dotnet mailing list
>> [E-MAIL ADDRESS DELETED]
>> https://ml.seasar.org/mailman/listinfo/seasar-dotnet
>>
>