SQLインジェクション対策に正解はない
最近、SQLインジェクションのネタが盛り上がってるようだ。下記のTogetterまとめあたりが震源地だろうか。 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ まとめを読んだ感想としては、「どちらの意見も間違ってはいない」というものだ。前提あるいは見方が異なるために、見解の相違が生じているだけのように思う。SQLインジェクションについては私も若干思うところがあるので意見を書いておこうと思う。 攻撃を防ぐのは難しいSQLインジェクションをはじめとするセキュリティ対策が難しいのは、ひとつでも穴があると致命的なダメージを受け得るということだ。「どうやって効率よくコードを書くか」とか「コードのメンテナンス性を高めるにはどう書くべきか」みたいな議論とは全く質が異なる議論が必要になっ
SQLインジェクションとは何か?その正体とクラッキング対策。
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
DB設計の難しさ
今日は徒然なるままにDB設計について思っていることを並べてみようと思う。 ようやくWEB+DB Pressの次号の原稿を書き終えた。2年間の連載であるが、来年はプライベートが忙しくなる予定なので、連載はこれにて終了とさせてもらうつもりである。 「なぜ人はリレーショナルデータベースを使いこなせないのか」 このところ執筆や講演を通じてリレーショナルモデルについて説明する機会を色々頂いているが、それらの活動の根源となっているのが、この素朴な疑問である。その疑問をパワーにしてこれまで活動を行なってきた。 現時点での自分の回答は「データベース設計が難しいから」である。もちろんリレーショナルモデルそのものの難しさというのもあるが、それよりは「適切な使い分けができていない」ということが大きいように思う。言葉を変えると、リレーショナルモデルを適用すべきデータとそうでないデータの判断ができていないからDB設
「日本企業に女性はいらない」が、経営学者の総論:日経ビジネスオンライン
本連載では、この夏まで米ビジネススクールで助教授を務めていた筆者が、欧米を中心とした海外の経営学の知見を紹介していきます。 さて、最近日本でよく聞かれるのが「ダイバーシティ経営」という言葉です。ダイバーシティとは「人の多様性」のことで、ダイバーシティ経営とは「女性・外国人などを積極的に登用することで、組織の活性化・企業価値の向上をはかる」という意味で使われるようです(参考)。実際、女性・外国人を積極的に登用する企業は今注目されていますし、安倍晋三首相もこの風潮を後押ししているようです。 ところが、実は世界の経営学では、上記とまったく逆の主張がされています。すなわち「性別・国籍などを多様化することは、組織のパフォーマンス向上に良い影響を及ぼさないばかりか、マイナスの影響を与えることもある」という研究結果が得られているのです。 なぜ「ダイバーシティー経営」は組織にマイナスなのでしょうか。何が問
「家賃負担率」が20年で9.6%→15.1%に上昇している件:日本の家賃が高すぎる理由 : まだ東京で消耗してるの?
編集のお手伝いをしている「ビッグイシュー・オンライン」に、「住宅政策提案書」をアップしています。とても重要な課題なので、うちのブログでもフォーカスして取り上げていきます。 これ、あんまり知られていない気がします、所得は減っているのに、家賃は上がっている現状があります。 可処分所得における家賃の比率も20年で5%以上、上昇しています。これ、けっこうな上昇だと思いますが、ほとんど気付かれていない気がします。ぼくもこのデータに触れるまで、家賃負担率が上昇していると知りませんでした。 順当に考えれば、所得が減っている(左のグラフ)わけですから、需要と供給の調整によって、家賃も低下していきそうなものです。しかし、真ん中のグラフを見るとおり、お金がない人が増えているのに、家賃はむしろ上昇しています。これは一体、どういうことでしょうか。 「住宅政策提案書」のなかでは、下記の理由が指摘されています。 その
いかにしてベンチャーの社内ネットワークを構築するか - UNIX的なアレ
情シス担当者なんていない 現在、nanapiは社員数30名弱くらいの会社規模です。アルバイトさんを含めると70名くらいになりますが、そのうちエンジニアは私を含めて8名。このくらいの会社の規模だと、まだ情シス的な仕事を専門的にやるような人はいません。 当然、ネットワークの専門家もまだ弊社にはいないので必然的にエンジニアの誰かがこのあたりを担当することになります。ベンチャーにおいてだいたいの場合、こういった技術的な行き場の分からない仕事ってのはCTOがやるもんです。 しかし、情シス的な仕事って本当に難儀な仕事。動いてて当たり前、高速で当たり前、ちょっとでもネットワークが遅くなるものならその時点ですでに障害です。 外注するという選択肢もありますが、何かしら社内でネットワークのトラブルがあれば少なくともその瞬間はたぶん僕が対応するなり調査するなりすることになります。どうせそうなるのであれば、自分で
外国人が7割、驚愕の公立小が横浜にあった:日経ビジネスオンライン
宗像 誠之 日経ビジネス記者 日経コミュニケーション、日本経済新聞社産業部、日経コンピュータを経て、2013年1月から日経ビジネス記者。 この著者の記事を見る
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
