• ベストアンサー
  • 困ってます

SQL面での検索フォームの入力について

ツイッターのOR検索についてですが、ちょっとセキュリティの面で心配です。 私はツイッターで、女性グループの「Juice=Juice 」という方を検索する際に、 後ろに 「B'z」を加えて、 「B'z OR Juice=Juice」と検索して、この2つだけをツイッターの検索結果に出したいのですが、 イコールもあるし、アポストロフィもありますから セキュリティの面でちょっと心配です。 (例えばSQLの攻撃とか) これを検索欄にかけても大丈夫なのでしょうか? また、その他の検索フォームにかける時、 アポストロフィが無くても攻撃文字列となってしまうのでしょうか? 例えば Which do you like AKB48 or Juice=Juice ? と英文検索した時です。 この英文には ' (シングルクォーテーション)がありません。 これも攻撃文字列となってしまうのでしょうか?? いざ調べたいときに不安です。 教えて下さい。 加えて、シングルクォーテーションなしの 「or z=z」 の文字は攻撃文字列なのでしょうか?

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数57
  • ありがとう数0

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • ngwaver
  • ベストアンサー率27% (164/595)

質問者様はセキュリティの知識がおありなので心配になってしまったのかと思いますが、サービス提供側は当然対策していますので、問題ありません。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • SQLでの「'」 シングルクォーテーションについて

    これらは検索する際の攻撃文字列なのでしょうか? 「ニッチロー' OR キンタロー。」 「'」(シングルクォーテーションだけ) 「The hogehoge union select this osenbei.」 「ああ、下手こいた~ or z=z」 「or z=z」 ※ 特に or z=z はシングルクォーテーションもセミコロンもハイフン無しです。 検索フォームにて入力する際の文字列です。 ※試すつもりはありません。

  • '(シングルクォーテーション)の検索

    '(シングルクォーテーション)の検索 SQL Server 2005 Express Edition を使っています。 '(シングルクォーテーション)を含む文字列を検索したいのですが できずに困っています。 どのようなクエリを組むべきでしょうか? 教えてください。 よろしくお願いします。 現在は select * from テーブル名 where 列名 like '%\'%' としていますがエラーになります。

  • ダブルクォーテーションが置換できません

    いつもお世話になっております。 PHP初心者です。 シングルクォーテーションとダブルクォーテーションを文字列として入力したいと思い、以下のように記述しました。 -------------------------------------------------- $naiyo = $_POST['naiyo']; $search = array('\'','"'); $replace = array('\'\'','\"'); $naiyo2 = str_replace($search,$replace,$naiyo); -------------------------------------------------- シングルクォーテーションは置換された(文字列として表示された)のですが、ダブルクォーテーションは表示されず、ダブルクォーテーション以下の文字列が消えてしまいます。 置換ができていないというよりも、そもそもダブルクォーテーションが検索に引っかかってもいないようです。 どのようにすればダブルクォーテーションも置換できるか、お分かりの方がいらっしゃいましたらご教示ください。 よろしくお願いいたします。

    • 締切済み
    • PHP
  • 特定文字の除去

    PHP4で文字列の中にシングルクォーテーションが含まれていたらシングルクォーテーションを取り除くことは可能でしょうか? アドバイスお願いします。

    • ベストアンサー
    • PHP
  • "文字列"? > CSVデータをMySQLにインポート時テキストデータのフォーマット

    CSVデータをMySQLにインポートする時に、データの中にテキストデータ(文字列)があるとします。 データを正しくインポートする為に、文字列をダブルクォーテーションやシングルクォーテーションで囲む必要はありますでしょうか。 記憶は定かではありませんが、「PostgreSQLの場合、文字列をクォーテーションで囲むとエラーになる。MySQLの場合は逆で、文字列をクォーテーションで囲まないとエラーになる。」みたいな話しを聞いたことがあるような気がします。 どなたか、教えていただければ幸いです。 どうぞよろしくお願いいたします。

    • ベストアンサー
    • MySQL
  • SQL面でのオンライン英単語辞典での検索について

    英語のオンライン辞書サイトで、熟語を検索する際に、「delete from」という熟語の意味を調べたいと思い検索したいのですが、 セキュリティ上の面で心配です。 「delete from」はSQLでの攻撃文字列の一つなのでしょうか? 記号は入っていません。 また、「delete from」の後ろに単語をつけて調べてしまった場合、そのデータ消える可能性はあるのでしょうか。 繰り返しになりますが、半角セミコロンや半角ハイフンをつけていません。 試すつもりもありません。 検索する際に不安なので質問させていただきました。

  • 検索しただけで犯罪者?

    文章検索する際に不安です。助けて下さい。 プログラミングを学ぶ際に、その文字列はどんな意味なのか、いざ調べて検索しようとする時、ためらいます。 ツイッターやGoogleはどんな文字列をかけても大丈夫なのでしょうか? 検索次第でお縄になるって事もありえますか? SQLとか... 大変不安です!回答お願いします!!

  • SQLの結果で“文”を作成する方法について???

    SQL文で「シングルクォーテーション」や特殊文字?を利用した文字列を作成方法がわかりません。。どなたか詳しい方ご教示いただけませんでしょうか? SQLで問い合わせ結果を文字列が含んだ形式で出したいと思っています。 <例> select 'これは、''||T.T1||''の''||T.T2||''の結果です。期間は、''||T.T3||''までです。' from T where ・ ・ ・ <例> このような感じで作っています。 テーブル名:T T1:文字列型 T2:文字列型 T3:日付型(yyyy/MM/dd) です。 T1とT2のみの文字列でしたら問題は無いのですが、T3の日付型を含んでしまうと何故かうまくデータが抽出できません。 何かいけない点があるのでしょうか? 特殊文字についてもよくわかっていないのもいけないのですが・・・ よろしくお願いいたします。

  • シングルクォーテーションを含む文字列の更新

    題名のとおりなのですが、データベースに更新するデータに シングルクォーテーションを含む文字があって、更新時にエラーとなってしまいます。 更新する文字列内にシングルクォーテーションの数が奇数あれば、さらに文字列にシングルクォーテーションを追加して、更新しようとしたんですが、ダメでした。 何か参考になるサイト、解決策をご存知の方、宜しくお願いします。 環境: OS:WinXPSP2 言語:VB6SP6 DB:SQLServer2000

  • Excel 数値を文字列にしたい

    お世話になります。 例えば、型番として  0001  0001A  0001B  0002   ・   ・ というものがあった場合、0001と0002は数値と認識されて1と2に なってしまいます。 この状態で、セルの書式設定で文字列にしたとしても、現状の1が 文字列になるだけです(要するに手遅れ)。 また、頭にシングルクォーテーションをくっつけて'0001や'0002と 入力してやればよいかと思うのですが、上記のようなケースが 数百行あった場合、ひとつずつシングルクォーテーションを くっつけていくには手間がかかります。 何かよい方法はございますでしょうか。 ご教示の程、宜しくお願い致します。