- - PR -
string及びstringBuilderのreplaceについて
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2006-01-24 06:13
たぶん大丈夫だと思いますが、一応指摘しておきます。
SQL Injection の脆弱性を作り込んでいる可能性があります。文字列を置換するのではなく、パラメータを使いましょう。 | ||||
|
投稿日時: 2006-01-24 09:41
> Liquid_Forceさんの書き込み (2006-01-23 16:41) より:
> stringBuilderも同様に戻り値を再設定してませんでした。 StringBuilderは戻り値をとらなくてもできるはずなんだが・・・ どうやって間違えているのか気になる。 | ||||
|
投稿日時: 2006-01-24 09:53
recordCountメソッドを抜けてから値を確認しているのならByValなので値は変わらない ですよね。ByRefにしたとしてもconstなので値は変わらないですよね。 でもだとするとこうしてもおなじはずか・・ sql = sql.Replace("@aaa","MakiMakiLove") | ||||
|
投稿日時: 2006-01-24 10:42
ぉあっ、ほんとだ。ヾ(_ _。) # 知らなかった自分に(恥) | ||||
|
投稿日時: 2006-01-24 11:46
先にあげた私のサンプルコードでは敢えて、
StringBuilder.Replace の戻り値を取得していませんw 元が Const であるとか関係なく加工したものを使うハズですから、 おかしいなぁとは私も思って見守っていました。 _________________ C# と VB.NET の入門サイト じゃんぬねっと日誌 |