[Seasar-user:20998] Seasar2のSQLインジェクションについて

[Toshiya Takahashi]

小林様

ご教示くださり、ありがとうございます。
ドキュメントの理解不足ですね。すいません。

@SQL や SQL ファイルの中でに、動的な変数においては、バインド変数となる /*引数名*/ や /*引数名.プロパティ名*/
を使う事で、SQLインジェクション対策となる。

ただし、特殊なケースにおいて、埋め込み変数コメントとなる /*$引数名*/を使用した場合には、SQLインジェクション対策は自前で行なう必要がある。

という理解でよろしいでしょうか。

重ね重ね失礼いたします。

高橋
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <http://ml.seasar.org/archives/seasar-user/attachments/20110909/54d7ec21/attachment.html>