PDOにおける一応の安全宣言と残る問題点
8月18日にPHP5.3.7がリリースされました。このリリースにより、PDOのSQLインジェクションの問題が一応解決されたと判断しましたので、ここに「一応の安全宣言」を表明するとともに、残る問題について報告します。 PDOの問題とは何か 以前、ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)にて報告したように、PHP5.3.5以前のPDOにはDB接続時に文字エンコーディングを指定する機能がないため、文字列リテラルのエスケープの際に文字エンコーディングをLatin1を仮定してしまうという問題がありました。この状態ですと、DBにShift_JISで接続している際に、SQLインジェクション脆弱性が混入しました。 ※ 実は、先のエントリの「追記(2010/07/01 22:20)」に紹介した方法で文字エンコーディングを指定できるのですが、ほとんど知られていないのと
PHPでデータベースに接続するときのまとめ - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。PDO に関しては大きく変わっていない部分が多いとは思いますが, PHP 8.x 以降での動作保証はありません。 あらかじめ読んでおきたい記事 Qiita - 【PHP超入門】クラス~例外処理~PDOの基礎 by @7968 初心者がやりがちなミス 以下のどれかに1つでも当てはまるコードは見直す必要があります.付録にリンクを貼っておきましたので,「該当するかも?」という人はクリックして飛んで読んでください.太字にしてあるものは脆弱性に直結する危険度の高いものです. mysql_query などの非推奨関数を利用している SET NAMES あるいは SET CHARACTER SET などで文字コードを指定している そもそもデータベース
【PHP】PDOの静的プレースホルダと動的プレースホルダの違いを確認する - Qiita
追記 徳丸先生からのコメントにありますが、静的プレースホルダはエスケープ処理しません。 静的プレースホルダはデータベース側でバインドします。 バインドするときの値は、リテラルからはみ出さないので、エスケープ処理が不要ということです。 リテラルからはみ出さないということは、SQL 文として解釈されません。 よって、SQL インジェクションは発生しません。 静的プレースホルダと動的プレースホルダの違いは、本記事ではなく、下記の記事をご覧ください。 以下は、エスケープ処理すると勘違いして記述しています。 はじめに PDOを勉強している初心者です。 エミュレートの設定がONだと動的プレースホルダになり、OFFだと静的プレースホルダになると学びました。 実際にMySQLのログからどのように違うのか確認することで理解を深めたいと思います。 動的プレースホルダと静的プレースホルダについては、独立行政法人
セキュリティエンジニアを将来の夢にしているのですが現在高2なのですが現在大学選びに悩んでいて、セキュリティエンジニアは自分が... - Yahoo!知恵袋
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
17時半に退社、オランダの企業に転職して増えた自由な時間とその価値 | ライフハッカー・ジャパン
はじめまして! 2015年の10月より東京からオランダのアムステルダムに移住し、現地の企業でソフトウェアエンジニアとして働いている和智大二郎(@watilde)です。働きながらオープンソース・ソフトウェアの開発や英語学習に集中できるような生活を模索していたところ、オランダに行き着きました。そして、実際にオランダの企業に転職してみたところ、予想以上に快適で、やりたいことに集中できる環境が整っていました。 この記事では、私が実際にオランダで働き始めるに至った経緯と、実際に働いてみて感じたことについて紹介します。 仕事で感じた「英語力」の限界 私がプログラミングを始めて6年くらいが経ちました。大学1年の頃に遊びで始めたプログラミングでしたが、自然と習慣となり、仕事となり、今では生活の中心に位置するまでになりました。私がここまでプログラミングにハマったのは、GitHubという、複数で、主にオープン
新卒採用サイト2023年卒|リクルート
20分で解説まるわかり!リクルート 忙しい学生のみなさんに、 サクっとすきま時間に見てほしい リクルートの会社説明動画です。 チャプターリスト 00:12 オープニング 02:17 リクルートについて 04:33 リクルートの事業について 08:12 配属職種について 10:37 入社後キャリアパスについて 11:56 成長を促す制度と風土 15:58 新規事業への挑戦 18:20 仕事とプライベートの両立
#attefes atteの開発の裏側を語る atte FeS【Go・Swift開発編】に参加してきたまとめ - もぐめぽろぐ
メルカリのグループ会社である、ソウゾウからリリースされた地域コミュニティアプリ「メルカリ アッテ」のリリースまでの裏側を語る「atte FeS」のGo・Swift開発編に参加してきたので、そのまとめ。 atte開発の技術 Golang と Google Cloud Platform 鶴岡 達也様 GoとGAEは非常に有力なWebアプリ開発手段 PaaSの時代が本格的に始まってきた herokuなどあったが、GAEは突き抜けて優秀なのではないか アプリケーションの要件 機能的な側面 作ろうとしているアプリを洗い出した JSON API、静的コンテンツ配信, 動的コンテンツ生成、DB、キュー処理 キーだけの検索ではなく、全文検索、位置情報、予測変換などの検索 画像をアップロードして配信、メール配信、Push通知、データ分析 非機能的な側面 グローバル:複数リージョンでDBはグローバルに一つだけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
