SQL関連の処理のサニタイズ

[a-pompom]

今回の処理ではEntityManagerを利用してSQLを実行している。  この際、動的にパラメータを渡す処理で値をエスケープしていないので、SQLインジェクションが起こる危険性が存在する。

これを防ぐため、クエリ文字列を作成するためのユーティリティクラスを作成する。

[a-pompom]

クエリ文字列の生成処理は入力値のバリデーションとセットでつくる必要があるので、まずは骨組みとして一通りの機能を実装した後に取り掛かることとする。

[a-pompom]

まずはベースとしてユーザ登録のユーザIDについてバリデーションを行う。 バリデーション処理にはアノテーションを自作してやってみる。 以下項目をチェックする。

• ユーザIDがユニークか
• 空でないか
• 半角英数及び一部記号(-, _)のみで構成されているか