2006-12-15 それUnicodeでw セキュリティ DBとフレームワーク側の文字コードが違うと、PreparedStatementを使っていてもSQLインジェクションが発生しちまったよorz あ、ちなみにフレームワーク側Unicodeで、DB側S-JISって奴での検証ね。 逆の場合、どうなるか試してみる価値があるかなぁ? というわけで、PreparedStatementも万能じゃないということで・・・ やっぱり文字コードは一緒にしましょう。 そうだ、あの文書も直さないと・・・ というかちと追加してみた。実証はTomcatとMySQLでやっているので、MySQLのJDBCドライバの問題の可能性が高いなぁ。