書籍検索でSQLインジェクション (CodeZine編集部ブログ)iioka@ハッキングクラッキング、ダメ、絶対。 です。 先日、大きめの書店に行ってきました。 そのお店にはタッチパネル式の端末で書籍検索ができるものがあったのですが、使おうと思って見てみたらエラー画面が表示されており、エラーメッセージが剥きだしのままトレースされてました。 トレース文を見てみると、どうやら書籍検索の入力欄に悪意(いたずら心?)のあるコードを入力されてしまったようです。いわゆるSQLインジェクションですね。 「やるなあ」「危ないなあ」と思う一方、「セキュリティホールを突かれてしまうのは、ちょっと格好悪いな」と思ってしまいました。仮にセキュリティホールを突かれてしまうにしても、専用のエラー画面を用意しておき、エラーメッセージをだらだらと表示しない工夫があると良かったと思います。 ただ、普通はそんな使い方をする人はいないはずなので、想定外と言えば想定外なのですが、「いやー、でも
