安全なAPI過信症候群の処方箋 – execv/SQLite3編

(Last Updated On: 2018年8月13日)またプリペアードクエリなど、安全とされるAPI万能と考えている方に会ったのでエントリを書きました。広く病気として治療すべき、と思いエントリを書きます。安全なAPI過信症候群と名付けました。 安全なAPI過信症候群（同類にプリペアードクエリ過信症候群など）：「安全」とされるAPIを使えば安全と、盲目的に信用し考慮すべきリスクを考えない症候群。ITエンジニアが発症し最も重要なセキュリティ対策である入力バリデーションを「必要ない、できない、セキュリティ対策ではない」エスケープは「必要ない、有害である」とする場合、かなり重度の場合が多い。 このブログでは既に何度もプリペアードクエリクエリは不完全である、と指摘しています。プリペアードクエリを使っていれば安全と盲目的に信じている方向けの基礎知識を紹介します。コマンド実行APIのexecvと最も

[Error401]

プリペアードクエリはSQLインジェクションに対する処方箋であって、その意味では安全なAPI。この人の主張を読むと「プリペアードクエリは安全などではないのだから、エスケープしろ」と勘違いする人が出そう。

[katsuren]

世界で最も多く利用されているとされている SQLite3 を本番で利用しなければいいのでは・・・？ http://japan.zdnet.com/article/35052519/

[rryu]

どちらかというと外部から渡されたコマンドを実行するみたいな本質的に危険なことはしないという方を啓蒙した方が良いと思う。

[oppara]

安全なAPI過信症候群の処方箋 – execv/SQLite3 編 | yohgaki's blog B!

[iww]

ひねった使い方をしてると安全なAPIでもすり抜けられる、という話。 ひねらず王道で行けば安全なのは特に変わってなさそう

[yohgaki]

安全と言われているAPIだからと盲信しているとNGが論点なのだが、ちょっと焦点がボケてたかな？まあ、まだいろいろあるのでまたそのうち。

[terazzo]

「プリペアードクエリはSQLインジェクションを防ぐことはできるが(XSSは防げないので)万能ではない」って話なのかな。「鍵は建物への侵入は防げるが火事は防げない」みたいな。