yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
Last Updated on: 2016年3月3日最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのかわか
KENJI
更新履歴 DNS拡張EDNS0の解析 Linuxカーネルをハッキングしてみよう Windowsシステムプログラミング Part 3 64ビット環境でのリバースエンジニアリング Windowsシステムプログラミング Part2 Windowsシステムプログラミング Part1 Contents インフォメーション 「TCP/IPの教科書」サポートページ 「アセンブリ言語の教科書」サポートページ 「ハッカー・プログラミング大全 攻撃編」サポートページ ブログ(はてな) BBS メール このサイトについて テキスト 暗号 詳解 RSA暗号化アルゴリズム 詳解 DES暗号化アルゴリズム crypt() アルゴリズム解析 MD5 メッセージダイジェストアルゴリズム crypt() アルゴリズム解析 (MD5バージョン) TCP/IP IP TCP UDP Header Format(IPv4) Ch
読書ノート - セーフティプログラミング
読感 とかく入門書籍では見過ごされがちとなる効果的なエラー処理の実装について。エラー処理を加えることでプログラムの実用性を高めるということ。その際に、(エラー処理の追加によって)ロジックの見通しが悪くなるような場合には、エラー処理までの含めた部分を(標準関数でも)ひとつのモジュールとしてまとめる(ラッピングする)ような方法がある。 抄録 C の標準関数 C は高級言語としてはエラー処理のサポートが少ない言語である。その主な理由として C では機能の実装における決定をユーザに委ねている点が挙げられる。また、かつてのマシンリソースが限られていた時代には、不要なエラー処理を組み込まないことも、ひとつの手段だったため。C では関数を書くときにエラー処理を書くというのが基本になる。そして標準関数は戻り値から異常を検出すればよい。 printf 仕様としてはエラー発生時に負の値を返すが、通常はチェック
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
