記事へのコメント52

    • 人気コメント
    • 新着コメント
    takc923 takc923 API的にprepared statementを内部で使ってるんだろうな、って思っちゃうけど違うのか... githubのレポジトリ見にいったら10年前に作られたprepared statementのfeature requestのissueがまだオープンなままだった

    2022/02/26 リンク

    その他
    deep_one deep_one 基本として「エスケープ処理はするな、プリペア使え」だと聞いている。/コメントを見て。プレースホルダ使うけどプリペアではない謎実装?その構文だとプリペアなんだと思いそうだな。

    2022/02/17 リンク

    その他
    ducktoon ducktoon “バッククォートで囲まれた識別子 password はカラムとみなされるので、最終的には password = password となり”

    2022/02/17 リンク

    その他
    akulog akulog Oh...

    2022/02/17 リンク

    その他
    kibitaki kibitaki Object型突っ込むとかはしないし、ストアドの中で型決めて受けてればセーフ、ってことでいいのかな?

    2022/02/17 リンク

    その他
    mattn mattn こわっ

    2022/02/17 リンク

    その他
    internetkun internetkun 誤解ないよう補足するけど2年近く更新が途絶えている https://npm.im/mysql でなくて https://npm.im/mysql2 の方が昨今は使われるようになっていて後者はこの記事で書かれているような現象は起きないはず

    2022/02/17 リンク

    その他
    utsuidai utsuidai これは…

    2022/02/16 リンク

    その他
    Keisuke69 Keisuke69 プレースホルダ使えば安全ってわけじゃないパターンらしい。オブジェクト渡したらダメらしいがオブジェクト渡す時ってどんな時かな

    2022/02/16 リンク

    その他
    flont flont なぜprepared statementではなくオレオレエスケープをライブラリが実装してしまうのか / 取りうる回避策はこのライブラリの使用をやめることしかない

    2022/02/16 リンク

    その他
    rgfx rgfx そんなまた昔のPHP界隈みたいなことがマジであんのかjsって

    2022/02/16 リンク

    その他
    kazokmr kazokmr nodeそれほど詳しくはないんだけど、prisma使ってる場合はどうなんだろ?

    2022/02/16 リンク

    その他
    yhoriz yhoriz やはりなるべく型による表明を使いたいと思わされる

    2022/02/16 リンク

    その他
    tettekete37564 tettekete37564 最低限のバリデーションすら無しで&&判定するって普通に手抜きコードじゃ無いの?しかもユーザ名+パスワードが対象でそのif文じゃ嫌な予感しかしない

    2022/02/16 リンク

    その他
    ghostbass ghostbass 普通は「プレースホルダ使え」でなく「パラメータクエリー(prepared statement)使え」なのでちょとイケてない感ある

    2022/02/16 リンク

    その他
    wkwkhautbois wkwkhautbois クライアント側でのエスケープは危険、DB側でのバインド機構(PreparedStatement)を使え が基本だと思ってるけど、MySQLは歴史的な何かがあるんだろうか。

    2022/02/16 リンク

    その他
    hurafula hurafula 三、四年くらい前から変わってないサービスとかめっちゃ使ってそうだな にしてもプリペアドステートメント使ってないのか

    2022/02/16 リンク

    その他
    prograti prograti ライブラリの内部ではMySQL Connector/Node.jsを使用しているのかと思ったらデータベースドライバみたいなのを自作してるんですね。

    2022/02/16 リンク

    その他
    razokulover razokulover ヒェ...

    2022/02/16 リンク

    その他
    send send まあ prepared statements 以外はそもそも使わんようにする方がいいよな

    2022/02/16 リンク

    その他
    lizy lizy プレースホルダをライブラリ側で展開している?

    2022/02/16 リンク

    その他
    remonoil remonoil mysql2を使おう。ほぼ互換だけどPrepared statementsサポートしてて、自動でPrepared statementsになる

    2022/02/16 リンク

    その他
    natu3kan natu3kan その道の業界人には知られてて、脆弱性のテストに普通に組み込んでたけど、広く知られるようになったのは近年みたいなのって、まだまだあるんだろうなあ。対策しないと融通を利かせちゃう機能のを逆手に取る訳か。

    2022/02/16 リンク

    その他
    xlc xlc プレースホルダの実装がエスケープとはたまげる。

    2022/02/16 リンク

    その他
    daira4000 daira4000 ライブラリ見にいったらprepared statements未実装だった。そんなライブラリを使わないのが安全。

    2022/02/16 リンク

    その他
    satomi_hanten satomi_hanten (ちゃんと読んでない)一時期流行ったクエリ/データ内のXML記述も怪しかったけど、そもそもjson記述の脆弱性みたいなもんだな。

    2022/02/16 リンク

    その他
    causeless causeless "@wtnbgo これはそもそも prepared statement 機構以外は絶対使うなと教えるべきなのでは。なんちゃってプレースメントホルダなライブラリは存在自体が悪だし廃止すべき。" from https://twitter.com/i/web/status/1493817092231286784

    2022/02/16 リンク

    その他
    rti7743 rti7743 余計な機能が無能な働き者になってしまったか。 無能な働き者は銃殺もといオプションで無効にするしかないね。その後テストしてと余計な手間かかるね

    2022/02/16 リンク

    その他
    rryu rryu 配列はIN句の時に使うから分かるが、オブジェクトは一体どう使う想定なのだろうか。無駄に頑張ってしまった感が強いが…

    2022/02/16 リンク

    その他
    mohno mohno これだから型が緩い言語は……にはならないの?

    2022/02/16 リンク

    その他

    人気コメント算出アルゴリズムの一部にヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

    記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日語に翻訳したものになりま...

    ブックマークしたユーザー

    • oreha_gao2023/02/25 oreha_gao
    • techtech05212022/12/25 techtech0521
    • bayashi_net2022/08/26 bayashi_net
    • kmkzt2022/08/26 kmkzt
    • kamawada2022/08/26 kamawada
    • nagatomo-beautiful552022/03/12 nagatomo-beautiful55
    • TakayukiN6272022/03/12 TakayukiN627
    • okumuraa12022/03/07 okumuraa1
    • yoshi-nkyma2022/02/27 yoshi-nkyma
    • takc9232022/02/26 takc923
    • dieth2022/02/22 dieth
    • yfnt2022/02/22 yfnt
    • stefafafan2022/02/21 stefafafan
    • crexist2022/02/20 crexist
    • wkubota2022/02/19 wkubota
    • riyokotter2022/02/18 riyokotter
    • cyber_snufkin2022/02/18 cyber_snufkin
    • inoyy2022/02/18 inoyy
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事