アカウント名:
パスワード:
やってみろSQLインジェクション等されまくって個人情報ダダ漏れになって簡単に死ねるから
> 意味のある記号をエスケープすればいいだけいやぁ、『々』を見落としちゃう現場ですよ?「すればいいだけ」なんて言ってると絶対にまた見落としが出ます。
というか、意味のある記号だけエスケープって、文字列のデータしか考慮してないですか?数値を埋め込むべきところにandとか通常の英字をぶち込まれるのは考慮しないつもりなんですか?全部文字列データとして渡せば解決と思ってますか?暗黙の型変換でもっと色々死ねますよ?
SQLインジェクション対策に入力文字制限とか普通しないって。かな英数字ならともかく、漢字の範囲なんか簡単にはできないでしょ。これアプリのレビュー見ると散々だよ?この問題だけじゃなく至る所でやらかしてる感じだよ。どんな開発会社に頼んだんだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
何で文字種制限しようとするのか (スコア:0)
Re: (スコア:0)
やってみろ
SQLインジェクション等されまくって
個人情報ダダ漏れになって
簡単に死ねるから
Re: (スコア:1)
SQLとして意味のある記号をエスケープすればいいだけなのに、SQLとして意味がある記号が何か分からない(ドキュメント見れば全部書いてあるのに!)から手当たり次第に制限してんだよね。
そんなカーゴカルトプログラミング手法で本当に危険な記号を排除できてるとどうして信じられるんだろう・・・
Re:何で文字種制限しようとするのか (スコア:0)
> 意味のある記号をエスケープすればいいだけ
いやぁ、『々』を見落としちゃう現場ですよ?
「すればいいだけ」なんて言ってると絶対にまた見落としが出ます。
というか、意味のある記号だけエスケープって、文字列のデータしか考慮してないですか?
数値を埋め込むべきところにandとか通常の英字をぶち込まれるのは考慮しないつもりなんですか?
全部文字列データとして渡せば解決と思ってますか?暗黙の型変換でもっと色々死ねますよ?
Re:何で文字種制限しようとするのか (スコア:1)
SQLインジェクション対策に入力文字制限とか普通しないって。
かな英数字ならともかく、漢字の範囲なんか簡単にはできないでしょ。
これアプリのレビュー見ると散々だよ?
この問題だけじゃなく至る所でやらかしてる感じだよ。
どんな開発会社に頼んだんだよ。