「間違いだらけのSQL識別子エスケープ | 徳丸浩の日記
Web側からやってくる文字列を処理するところと、貰った文字列からSQL使ってデータ取得したりするところは、基本別に考えて設計とか構築とかするので、
どうしてこういう形になるのかわからん。
どうして、「Webからやって来た文字列」を、「SQL文の中身に」そのまま使おうとするんだろう?
「間違いだらけのSQL識別子エスケープ | 徳丸浩の日記
Web側からやってくる文字列を処理するところと、貰った文字列からSQL使ってデータ取得したりするところは、基本別に考えて設計とか構築とかするので、
どうしてこういう形になるのかわからん。
どうして、「Webからやって来た文字列」を、「SQL文の中身に」そのまま使おうとするんだろう?