これがセカンドオーダーSQLインジェクション？？

私の以前のエントリーでも少し取り上げた「セカンドオーダーSQLインジェクション」。
私は参考リンクの紹介程度で終わらせてしまいましたが、高木浩光さんが突っ込んだ解説をなさっている記事を見つけました。
■ 「セカンドオーダーSQLインジェクション」ですって？
http://takagi-hiromitsu.jp/diary/20051231.html#p05

どうやらあの特集でいっているセカンドオーダーSQLインジェクションは本質を示していなそうです。

「入力値をサニタイズする」のが「一般的なSQLインジェクション対策」だと誤解をしなければ。

入力値だけじゃなくてSQLにかかるすべてのパラメータ（たとえばDBからもってきた値に対しても）でサニタイズが必要、それが一般的なSQLインジェクション対策。
それを怠った箇所を攻撃されるのをセカンドオーダーSQLインジェクションと呼ぶのはおかしいような気がします。

高木さんの意見に同感です。