Open a-pompom opened 5 years ago
今回の処理ではEntityManagerを利用してSQLを実行している。 この際、動的にパラメータを渡す処理で値をエスケープしていないので、SQLインジェクションが起こる危険性が存在する。
これを防ぐため、クエリ文字列を作成するためのユーティリティクラスを作成する。
クエリ文字列の生成処理は入力値のバリデーションとセットでつくる必要があるので、まずは骨組みとして一通りの機能を実装した後に取り掛かることとする。
まずはベースとしてユーザ登録のユーザIDについてバリデーションを行う。 バリデーション処理にはアノテーションを自作してやってみる。 以下項目をチェックする。
今回の処理ではEntityManagerを利用してSQLを実行している。 この際、動的にパラメータを渡す処理で値をエスケープしていないので、SQLインジェクションが起こる危険性が存在する。
これを防ぐため、クエリ文字列を作成するためのユーティリティクラスを作成する。