[Seasar-user:19748] Re: 【S2Dao】キーワード検索などで、スペース区切りをAND検索にする
Hidemasa Aoki
[E-MAIL ADDRESS DELETED]
2010年 5月 14日 (金) 17:19:21 JST
久保さん
こんにちは。青木です。
アドバイスありがとうございます。
そうなんですよね・・・。SQLインジェクション対策が必要になってしまいます。
もうここ10年以上、PreparedStatementを使わないSQL発行なんてしたことがないの
で、とても不安です。
顧客にはすでに「キーワード10個の制限でいきます」と宣言してしまっており、実装
もし終わってしまったので、今回は無難に個数制限付きのままリリースしようかと思
います。
-----Original Message-----
From: [E-MAIL ADDRESS DELETED]
[mailto:[E-MAIL ADDRESS DELETED]] On Behalf Of kubo
Sent: Friday, May 14, 2010 4:24 PM
To: [E-MAIL ADDRESS DELETED]
Subject: [Seasar-user:19746] Re: 【S2Dao】キーワード検索などで、スペース区切
りをAND検索にする
久保(jflute)です。
言うまでもないことだと思われますが、
埋め込み変数コメントを利用する場合で、
条件値がユーザ入力のものであるときは、
SQLインジェクションへの対応をどうするか、
気をつける必要がありますので。
2010/5/14 Hidemasa Aoki <[E-MAIL ADDRESS DELETED]>:
> 田中さん
>
> こんにちは。青木です。
>
> ・・・
> ・・・
> 埋め込み変数コメント・・・そういえばそのようなものを見た覚えが・・・ありま
> す。
> 使っていなかったので、すっかり忘れていて、勘違いしてしまいました!!!
>
> ありがとうございます!
> これで制限なしで実装できます。
>
> -----Original Message-----
> From: [E-MAIL ADDRESS DELETED]
> [mailto:[E-MAIL ADDRESS DELETED]] On Behalf Of Kenichiro TANAKA
> Sent: Friday, May 14, 2010 3:47 PM
> To: [E-MAIL ADDRESS DELETED]
> Subject: [Seasar-user:19744] Re: 【S2Dao】キーワード検索などで、スペース区
切
> りをAND検索にする
>
> 田中と申します。こんにちは。
>
> 私も以前、S2Dao+SQLファイルで同じような複数キーワードの対応を
> しましたが、その際には埋め込み変数コメントを使用しました。
>
> 青木さんがはじめに書かれているのは、バインド変数コメントではないでしょう
か??
>
> 2010年5月12日16:10 Hidemasa Aoki <[E-MAIL ADDRESS DELETED]>:
>> Javaでがりがり書いてみましたが、失敗でした。
>>
>> PagerConditionという便利機能が逆に足かせになり、うまくいきませんでした。
>>
>> 大変、困ってしまいました。
>>
>> -----Original Message-----
>> From: [E-MAIL ADDRESS DELETED]
>> [mailto:[E-MAIL ADDRESS DELETED]] On Behalf Of Hidemasa Aoki
>> Sent: Wednesday, May 12, 2010 10:39 AM
>> To: [E-MAIL ADDRESS DELETED]
>> Subject: [Seasar-user:19736] Re: 【S2Dao】キーワード検索などで、スペース
区
> 切
>> りをAND検索にする
>>
>> 大中さん
>>
>> 回答ありがとうございます。
>>
>> やっぱり不可能ですか・・・。
>>
>> 埋め込み変数コメントですが、そもそものことの発端で、埋め込み変数では対処
で
> き
>> ないようなことだったので、EntityManagerにたどり着いた、ということです。
>>
>> 【ことの発端】
>> 件名のとおり、キーワード検索などで、スペース区切りで入力されるとAND検索に
> な
>> る、という仕様はよくあると思います。※Googleみたいに。
>> これを実現方法を知りたい。
>>
>> ――――――――――――――――――――――――
>> 処理が遅くなりそうですが、Javaのコードでがりがり書くしかなさそうですね。
>>
>> -----Original Message-----
>> From: [E-MAIL ADDRESS DELETED]
>> [mailto:[E-MAIL ADDRESS DELETED]] On Behalf Of Oonaka Hiroyuki
>> Sent: Tuesday, May 11, 2010 10:54 PM
>> To: [E-MAIL ADDRESS DELETED]
>> Subject: [Seasar-user:19735] Re: 【S2Dao】キーワード検索などで、スペース
区
> 切
>> りをAND検索にする
>>
>> 大中(せと)です。
>>
>> Hidemasa Aoki さんは書きました:
>>
>>>
>>> EntityManagerでは、SQLファイルを利用したSQLを実行できないのでしょうか?
>>
>> はい。
>>
>>> SQLファイルを利用できるようにする、何か方法はないのでしょうか?
>>
>> SQLファイルを使うということでしたら、埋め込み変数コメントのほうが
>> 向いていると思います。
>>
>> http://s2dao.seasar.org/ja/s2dao.html#SQLBind
>>
>> の「埋め込み変数コメント」を参照してください。
>>
>>
>> --
>> 大中浩行(せとあずさ)
>> [E-MAIL ADDRESS DELETED]
>> _______________________________________________
>> Seasar-user mailing list
>> [E-MAIL ADDRESS DELETED]
>> https://ml.seasar.org/mailman/listinfo/seasar-user
>>
>> _______________________________________________
>> Seasar-user mailing list
>> [E-MAIL ADDRESS DELETED]
>> https://ml.seasar.org/mailman/listinfo/seasar-user
>>
>> _______________________________________________
>> Seasar-user mailing list
>> [E-MAIL ADDRESS DELETED]
>> https://ml.seasar.org/mailman/listinfo/seasar-user
>>
>
>
>
> --
> Kenichiro TANAKA
> [E-MAIL ADDRESS DELETED]
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
_______________________________________________
Seasar-user mailing list
[E-MAIL ADDRESS DELETED]
https://ml.seasar.org/mailman/listinfo/seasar-user
Seasar-user メーリングリストの案内