SQL Injection
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
この資料では「'」を「\'」にとなってるけど、「'」を「''」の方が正しかったはず。
と思ってぐぐって見たけどいい一次資料が見つからなかったorz
(直ったみたいw)
後、「"」を「""」にってのもいらないかなぁ?と思ったけど・・・これも情報源が・・・
SQL99の規格書の本は色々引っかかるんだが、そのものとなると・・・
その辺のこと自分が書いた文書でしっかり、かいてたやん。えらいぞ>自分w
http://www.geocities.jp/ikepy0n/SQLInjectin.html
で、思い出したが、2バイトコードネタをまとめようと思ってまとめてないや・・・
とまぁ、それはさておき、MySQLとJDBCの組み合わせって、こんなことできないのかなぁ?
select * from hoge where hoe='a' or 1=1;-- ';
select * from hoge where hoe='a' or 1=1;# ';
select * from hoge where hoe=1; select 1,'hoe';
なんかSyntaxエラーになるんだよねぇ。
MySQLのコマンドプロンプトからなら可能なんだけど・・・
聞くところによるとJDBCのチェックに引っかかってるため、出来ないらしい。ぬー抜け道考えないとうまく使えないなぁ。