はてなブックマーク

≪ 2008.10┃ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 ≫ 高木氏が再びサニタイズ言うなキャンペーンの解説記事を掲載した。 高木浩光＠自宅の日記 - WASF Times版「サニタイズ言うな！」 今回のはかなり判り易く書かれていると思いますが、それでもまだ理解に欠ける人々もいるようで、アルファブロガーの宿命か？高木氏もたいへんだなぁと思ったり(笑) SQLインジェクションだと、SQL文をプログラム中で動的に生成するな！プレースホルダ使え！！で済む話なのですが、 use MyDBIPg; my $db=MyDBIPg->new($dsn); my %parm=( parm1 => $parm1, parm2 => $parm2

≪ 2008.09┃ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ≫ 高木氏が「波線省略棒グラフ」を「NHKの捏造」とまで言い切った件で、色々な人が批判して、更に氏がはてブでコメントしていてなかなか面白い。 高木浩光＠自宅の日記 - 日常化するNHKの捏造棒グラフ 氏の記事もなんだかなと思わなくもないが、反論記事もどうだかなって感じなくもない。 そもそも、グラフって何のためにあるのかって事を忘れて論議しても始まらないような気がします。 グラフというのは、本来数値を客観的に図式化する事で数値が示す事象を認識するために作るものだよね？ つまり、グラフ化する事で何がどうなっているかを客観的に知ると言う事。 もっと言うと、グラフによって答えが導かれるのであって、答

≪ 2008.09┃ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ≫ 情報処理推進機構：セキュリティセンター：脆弱性関連情報取扱い：安全なウェブサイトの作り方　ざっとですが読みました。 で、３点ほど気になったのでメモっておきます。 1.1 SQLインジェクション 1)-1の参考URLのサンプルスクリプトですが、$dbh->prepare()関数の引数が""で囲われている。 SQLインジェクション防止はプレースホルダの利用で間違いはないのですが、その真意は動的SQLを生成しない事にあります。 Perlの場合、妥協の産物としてプログラム中にSQLを書く場合、動的SQLを生成しない意思を示すためにも''で囲いたいですね。 もちろん、可能ならストアドプロシージ

≪ 2008.09┃ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ≫ せっかくIPAが有用なガイドラインを出したばかりと言うのに、こんな無責任な記事を掲載するなんて．．．。 @IT無神経過ぎます。 今夜分かるSQLインジェクション対策 － ＠IT @ITって星野君のWebアプリほのぼの改造計画など、読み物として面白くためになるものを掲載するクセに、啓蒙すべき記事で嘘とまでは言わないが不十分な対応を平気で書くので困ります。 まず第１にいけないのは、対処療法的な対応を否定していない事。 この記事では、３つの攻撃手法を、第１の攻撃に対して記号のサニタイズで対応する事を提示し、それを回避する２種類の新たな攻撃に対して新たなサニタイズ処理を提案すると言う形を取っていま