[seasar-dotnet:910] RE: Re: S2Dao.NET SQLインジェクション対策

KIYOSUE Minoru [E-MAIL ADDRESS DELETED]
2008年 8月 1日 (金) 16:57:07 JST 

久保様
 
早々のご回答ありがとうございます。
清末です。
 
 
> S2Daoの処理はSeasar.Dao.Impl.DaoMetaDataImplから> 追っていくことでほぼ全ての処理が網羅できます。> その中で登場する以下のクラス> > Seasar.Extension.ADO.Impl.BasicHandlerのBindArgs()メソッド> Seasar.Extension.ADO.Types.BaseValueTypeのBindValue()メソッド> > あたりを見ると、ADO.NETレベルでどういったハンドリングを> しているかを確認することができると思います。
デバッグモードでソースを確認しようかとおもっておりました。
追跡のポイントがわかりましたので、早々に確認してみます。
 
 
> Date: Fri, 1 Aug 2008 14:36:51 +0900> From: [E-MAIL ADDRESS DELETED]> To: [E-MAIL ADDRESS DELETED]> Subject: [seasar-dotnet:909] Re: S2Dao.NET SQLインジェクション対策> > 久保(jflute)です。> > > 提案先から改めて、「S2Dao.NETを利用した場合のSQLインジェクション> > の対策は?」との質問を受けました。> > お客様からのフォーマルな問い合わせということなので、> 確認要素を提示しておきます。> (1コミッタの返事では足りないですよね)> > S2Daoの処理はSeasar.Dao.Impl.DaoMetaDataImplから> 追っていくことでほぼ全ての処理が網羅できます。> その中で登場する以下のクラス> > Seasar.Extension.ADO.Impl.BasicHandlerのBindArgs()メソッド> Seasar.Extension.ADO.Types.BaseValueTypeのBindValue()メソッド> > あたりを見ると、ADO.NETレベルでどういったハンドリングを> しているかを確認することができると思います。> > 2008/8/1 kubo <[E-MAIL ADDRESS DELETED]>:> > 久保(jflute)です。> >> > 清末さん、こんにちは> >> >> なら、自動的にPreparedStatementが使われているので、SQLインジェ> >> クション対策がされていると考えて大丈夫と思っておりますが、.NET版> >> でも同様の対策がなされておりますでしょうか?> >> > 同様です。> > しっかり、バインド変数コメント「/*変数名*/」を> > 使っていればパラメータはバインド変数として扱われます。> >> > 2008/8/1 KIYOSUE Minoru <[E-MAIL ADDRESS DELETED]>:> >>> >> いつもお世話になっております。> >> 清末です。> >>> >> 弊社から、S2を利用した開発の提案を始め、早4つ目のプロジェクトが> >> いよいよ始動となる運びとなりました。> >>> >> 提案先から改めて、「S2Dao.NETを利用した場合のSQLインジェクション> >> の対策は?」との質問を受けました。> >>> >> 当然、開発アプリケーション側で、DTOのチェックを行う事で設計をすす> >> めておりますが、S2Dao(Java)で、SQLコメント/*変数名*/を使っている> >> なら、自動的にPreparedStatementが使われているので、SQLインジェ> >> クション対策がされていると考えて大丈夫と思っておりますが、.NET版> >> でも同様の対策がなされておりますでしょうか?> >>> >> いまさらながらの質問で大変恐縮に存じますが、よろしくお願い申し上> >> げます。> >>> >>> >> _______________________________________________> >> seasar-dotnet mailing list> >> [E-MAIL ADDRESS DELETED]> >> https://ml.seasar.org/mailman/listinfo/seasar-dotnet> >>> >> _______________________________________________> seasar-dotnet mailing list> [E-MAIL ADDRESS DELETED]> https://ml.seasar.org/mailman/listinfo/seasar-dotnet
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <http://ml.seasar.org/archives/seasar-dotnet/attachments/20080801/c9ac3c63/attachment.html>

seasar-dotnet メーリングリストの案内