はてなブックマーク - yohgaki's blog - これからのプログラムの作り方

yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須

blog.ohgaki.net

タグ : PHP security programming 文字コードセキュリティ encoding プログラミング DB web MySQL

コンピュータ・IT 156 users

最近PostgreSQL、MySQL両方にSJIS エンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。... > このページを見る

最終更新時間: 2006年06月12日12時30分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

webmarksjp PHP, MySQL, PostgreSQL, 文字コード, security, DB-DB設計, セキュリティ
Programming 2008/07/14
os9 字, Prog, PHP
>mb_check_encoding 2007/05/11
mitsuki_engawa programming
壊れたデータは使用するべきではない、と。 2006/12/25
yupo5656
「壊れた文字がある場合は削除してはいけません」 2006/12/25
zederbuch 文字コード, セキュリティ
hai 2006/12/22
ihag development, encoding
(1)入力時のCES妥当性検査は必須 (2)壊れたencodingの入力時には処理を継続せず異常終了するべし (3)壊れた文字の削除・置き換えは愚行。するべからず (4)CESはできるだけ統一しよう 2006/06/15
yuki_neko_nyan Unicode, DB
も含めたエンコーディング問題 2006/06/14
twainy 文字コード, php
mb_check_encoding関数、壊れた文字は削除しない 2006/06/14
agx 5, Develop, Programming, Web, Font, DB, Security
今後は全てのセキュアなアプリケーション、ライブラリで文字エンコーディングが妥当であるかチェックすべきです。壊れた文字がある場合は削除してはいけません。安易な他の文字への変換も脆弱性を生む場合があります 2006/06/14
saoshima
文字コード UTF-8 エンコーディング security 2006/06/14
tgk encoding
★ 2006/06/13
vine_hate program
[security] [mysql] 2006/06/13
mainyaa encode, php, programming, security
覚えておく。 2006/06/12
tsupo security, encoding, 文字コード, validation, Internet, computer
最も単純な例としてはUTF-8文字の中にASCIIの特殊文字を埋め込む方法が考えられます。この壊れたUTF-8文字列をASCIIとして処理してしまうと様々な問題が発生してしまうことは容易に想像できます。 2006/06/12
hiro_y php, encoding
検証が必要、UTF-8に注意。 2006/06/12