Webアプリケーション/セキュリティ/エスケープ

Webアプリケーションセキュリティ/エスケープについて、ここに記述してください。

「エスケープ」というのは常に「何に対して」というコンテキストを持っているので、「SQLとしてエスケープ」と明示しておいたほうがわかりやすい、ということですね。

Yosuke HASEGAWA Yosuke HASEGAWA ‏@hasegawayosuke

逆にいえば、文字列としてコンテキストを持つものを組み立てる場合(sprintfの書式文字列、SQL、HTMLなど)はエスケープ or バインド機構が必須、ということを頭の隅に意識しておくといいですね。

MoinQ: Webアプリケーション/セキュリティ/エスケープ