SQLインジェクション対策でADO.NETを使用した時に見逃されがちな点について

SQLインジェクション対策は、

必ずしもDBにアクセスするクエリについて対処すれば良いわけではなく、

また、パラメタライズドクエリを利用していれば良いというものでもありません。

DataViewのRowFilterプロパティやDataTableのSelectメソッドを利用する時も、

それに与えるクエリの特殊文字はエスケープされている必要があります。

見逃されがちな点なので、上記クラスの機能を利用している方は、一度確認した方が良いかも。

Share
カテゴリー: .NET