そろそろSQLインジェクションについてひとこと言っておくか。 - だらだらやるよ。

ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。 というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 SQLインジェクションってなに？ アプリのユーザ入力領域からSQL文を注入されてしまうこと。 サーバでこういうコード書いてると、user_nameに「' or '1'='1';#」とか書かれて素敵なことになる。(mysqlの場合) String sql = "SELECT * FROM users WHERE = name = '"+user_name+"' AND password='"+user_password+"'"; 簡単に言うと、開発者の意図しないSQLをユーザの入力によって行う攻撃手法ですね。 S

[yashigani_w]

勉強します...

[rikkeydesu]

SQLインジェクション　セキュリティ

[sonodam]

SQLインジェクションのまとめ

[buty4649]

攻撃側視点の解説

[psychedesire]

初心者に優しいワン！

[gayou]

SQLインジェクションの話

[raimon49]

テーブル情報を探る実践

[girled]

おさらい。具体的にカラムを探ってクエリを作る手法の説明がある。『MySQLはゆるふわ』という表現はなかなか。これから俺も使おう。1ビットの情報のみを頼りにハックしていくってのは確かにロマンかもね。

[cheebow]

すばらしい

[mi1kman]

「というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。」