検索系SQLでバインド変数の利用

Avatar
もも

検索系SQLでバインド変数の利用ってできなくないですか?
サンプルを見ても、
WHERE A = '${keyword}'
のようにスクリプト変数による文字列置換してるのしか見つけられません。
この会社はSQLインジェクションって知らないのかな・・

この記事は役に立ちましたか?

0が役に立ったといっています

コメント

  • Avatar
    おかべ

    これのことですかね?

    SQLパラメータは「?{name}」と記述します。「name」は任意に指定できます。 
    SQLパラメータはMapperで値を設定します。 

    SQLパラメータの使用方法

    0
  • Avatar
    もも

    申し訳ありません。
    当方の使用バージョンは3.2になります。
    マニュアルはこちらとなり、SQLパラメータに関する記載はありません。
    http://patch.appresso.com/DataSpider/help/DSS32/doc/help/ja/adapter/database/rdb_execute_select_query.html
    おかべさんより案内頂いた、V4では確かに出来そうなことが書いてありますね。
    V4は2016年販売開始なので、それまでかなり長い間、重大なセキュリティ問題に気がつかなかったという話なのでしょうかね・・

    0
  • Avatar
    おかべ

    なるほど!そうなのですね。
    ヘルプに記載されていないだけで利用できませんかね?
    それで使えない!!となったらサポートに問い合わせされてみるのがよいかもしれないですね。

    0

ログインしてコメントを残してください。