危険なのは「セキュリティ ホールのあるアプリケーション」ではなく、「セキュリティ ホールがあることがわかっていて放置する開発者の体質」なんですけどねぇ。
で、実際、セキュリティ上の穴にはならなくても、バグにはなり得るのです。
→
http://blogs.wankuma.com/jitta/archive/2006/02/20/21370.aspx
今回パラメータライズド クエリにしなかったら、この次の機会も、「前回はこうだったから」と、おそらく文字列連結を使うでしょう。そして、Web アプリケーションになっても、やはり使ってしまい、後になって対応に走り回ることになるでしょう。
先にやっておく方が楽なのに。。。
> パラメータクエリで実装するのは手間, 文字列加算で実装したほうが直感的で楽
そうかなぁ?そこでいったん文字列が切れちゃうんですよ?パラメータにした方が、直感的で見やすく、保守もしやすく、おまけにセキュア。
# とりあえず、「ストアド プロシージャ」はいわないでおく
> 「これは仕様である」とでも言い張るんでしょうね。
言い張っているのがサイボウズ。。。