SQL, ネタ最近FizzBuzzをblogで書くといいよみたいな流れになっている(曲解)のでFizzBuzz - 文殊堂この流れにって、SQLでFizzBuzzを書いてみました。以下、FizzBuzzのSQLです。なお、このSQLの動作確認は「mysql Ver 5.0.67」で行いました。 /* 一時テーブルを... 続きを読む

• d:id:nattou_curry_2
• おもしろ

■PHP逆引きレシピは概ね良いが、SQLインジェクションに関しては残念なことに 404方面でも絶賛されていたPHP逆引きレシピを購入した。本書はとても丁寧な仕事で素晴らしいと思ったが、セキュリティに関しては若干残念な思いをしたので、それを書こうと思う。 目... 続きを読む

• d:id:ockeghem
• コンピュータ・IT

SQLite ライブラリは標準 SQL 言語の大部分を理解できます。 しかし、いくらかの機能を省略し、 とはいえ同時に、少しの機能を付け加えてもいます。 このドキュメントは SQLite における SQL 言語のサポートする部分と しない部分の正確な記述を目指します。 同... 続きを読む

• www.3rd-impact.net
• コンピュータ・IT

Black Hat Europe 2009 Media Archives Moevenpick City Center, Amsterdam • April 16-17 Speakers and Topics Chema Alonso and Enrique Rando Tactical Fingerprinting Using Metadata, Hidden Info and Lost Data 続きを読む

• www.blackhat.com
• コンピュータ・IT

前回の日記からだいぶ日にちが空いてしまいました。今日は、自作検査ツールのSQLインジェクション用シグネチャについて書きます。SQLインジェクションの検査シグネチャとしては、以下の5種類を用意しています。A. SQLエラー検出+簡易なBlindB. Blind 数値型・カ... 続きを読む

• d:id:teracc
• コンピュータ・IT

オブジェクト指向言語を使ったことのあるプログラマなら一度は O/Rマッピングという言葉を聞いた事があるでしょう。 オブジェクトと RDBのレコード間とのインピーダンスミスマッチを解消する手段として用いられ, O/Rマッピングは様々な言語で色々な実装がありま... 続きを読む

• blog.y-110.net
• コンピュータ・IT

S2JDBC(やS2Dao)では、2Way SQLにIFやBEGINコメントを埋め込んで動的にWHERE句を組み立てていました。 select ... /*BEGIN*/ where /*IF foo != null*/ foo = /*foo*/1 /*END*/ /*IF bar != null*/ and bar = /*bar*/1 /*END*/ /*END*/ このSQLコメントを使った... 続きを読む

• d:id:higayasuo
• コンピュータ・IT

前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回：ケース別、攻撃の手口を読んで感じたことを書きたい。　まず、この記事は以下のような書き出しから始まっている。本記事は、システムを防御するにはまず敵を知らなければならない、という... 続きを読む

• d:id:ockeghem
• コンピュータ・IT

以前このブログでも取り上げたことのある神戸デジタル・ラボの近藤伸明氏がThink IT上で「SQLインジェクション大全」という連載を執筆しておられる。その第三回「SQLインジェクションの対策」を読んで以下の部分が引っかかった。バインド機構とは、あらかじめSQ... 続きを読む

• d:id:ockeghem
• コンピュータ・IT

JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 今年のBlack Hat Japanには、はせがわようすけ氏が「趣味と実益の文字コード攻撃」と題して講演され話題となった。その講演資料が公開されているので、私は講演は聞き逃したが、... 続きを読む

• www.tokumaru.org
• コンピュータ・IT

作者 Abel Avram, 翻訳者 沼田 暁子 投稿日 2008年12月11日 午前6時33分 コミュニティ .NET, Java, Ruby, Architecture トピック データアクセス タグ GemStone, MagLev, Relational Databases, CouchDB, Object Databases 最近投稿したブログ記事の中で、ソフ... 続きを読む

• www.infoq.com
• コンピュータ・IT

米 Yahoo! が Yahoo! Pipes みたいに自由度が高くて、またちょっと毛色が違うサービスが出てきた。題して、Yahoo! Query Language。YQL と呼ぶようだ。SQL 風の言語を REST で投げて、結果を XML や JSON で受け取ることができる。具体的にやってみないと分かり... 続きを読む

• d:id:nitoyon
• コンピュータ・IT

書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著... 続きを読む

• www.tokumaru.org
• コンピュータ・IT

_ [Java][Seasar] S2JDBCで複雑なSQLもタイプセーフに流れるようなインターフェースで書いた方が良いと思う理由 昨日書いたS2JDBCを使った複雑な↓のクエリ。 public ThesisProfUser findByUidAndYear(String userId, int year) { return select() .leftOuterJo... 続きを読む

• jfut.featia.net
• コンピュータ・IT

続きを読む

• b:id:kazuhooku
• コンピュータ・IT

なぜPHPアプリにセキュリティホールが多いのか? 第6回　意外に知られていないブラインドSQLインジェクション 2007年6月11日 大垣靖男 プログラミング, PHP, セキュリティ, SQLインジェクション 前回の記事でSQLインジェクションの話は終わりにして，クロスサイ... 続きを読む

• gihyo.jp
• コンピュータ・IT

例えば、「\%foo」から始まる文字列を検索する場合には、どのようなSQL文を書けばよいのでしょうか。条件は以下の通りです。DBMSソフトはMySQLESCAPE節は使わないMySQLでESCAPE節を使わない場合、ワイルドカード文字（「%」や「_」）は「\」でエスケープするこ... 続きを読む

• d:id:teracc
• コンピュータ・IT

http://www.tokumaru.org/ ×125 http://d.hatena.ne.jp/ockeghem/ ×89 http://www.hash-c.co.jp/ ×59 http://takagi-hiromitsu.jp/diary/20080620.html ×43 http://www.tokumaru.org/JavaScript/ ×39 http://takagi-hiromitsu.jp/diary/ ×33 http://d.hatena.ne... 続きを読む

• tokumaru.org
• コンピュータ・IT

更新情報 yappoさん、nipotanさん、麻理さんを追加しました！ありがとうございます！！ 日本のGeeksがマジ優しすぎて鼻から牛乳＞＜ geek DataBase - ギークデータベース SQLインジェクション攻撃による不正なデータベース操作を防ぐ 前回の更新後、さっそく秘... 続きを読む

• lovecall.14.dtiblog.com
• コンピュータ・IT

« MySQL のクエリ最適化における、もうひとつの検証方法 | メイン | MySQL (InnoDB) に直接アクセスしてタイムライン処理を高速化する話 » 2008年06月09日 フレンド・タイムライン処理の原理と実践 MySQL (InnoDB) に直接アクセスしてタイムライン処理を高速化... 続きを読む

• labs.cybozu.co.jp
• コンピュータ・IT