PHP+PDO+MySQLの組み合わせではSQLインジェクション攻撃で複文呼び出しが可能
基礎からのPHPという書籍を読んでおりましたら、SQLインジェクションの攻撃例として、以下のSQL文ができあがる例が紹介されていました。PHP+PDO+MySQLという組み合わせです。 SELECT * FROM tb2 WHERE ban=1;delete from tb2 2つのSQL文がセミコロンで区切って1つにまとめられていますが、これを「複文(multiple statement)」と言います。私は、SQLインジェクション攻撃の文脈で複文が使える組み合わせを調べたことがあり、PHPとMySQLという組み合わせでは、複文は使えないと思っていましたので、この攻撃は成立しないのではないかと思いました。 しかし、決めつけも良くないと思い手元の環境で動かしてみたところ、あっさり動くではありませんか。 PDOを用いてMySQLを呼び出す場合は複文が実行できると気づきましたが、なぜPDOの場合
SOY CMS
SOY CMSは成果を上げるためのCMSです。 「人員を増やさず受注量を増やしたい」「取引を継続的なものにシフトしたい」「受注できる仕事の幅を増やしたい」Web制作会社様のためのCMSです。 Webへの投資の費用対効果を最大化させたいサイトオーナー様も是非ご利用ください。 オープンソースライセンスで公開、配布していますのでご利用は一切無料です。サポートが必要な場合にのみ、有償でサービスをご提供しています。 SOY CMSを使用したサイト構築・リニューアルについて SOY CMSを利用したサイト・ネットショップ構築に関しては開発元もしくは公式パートナーまでお問合せ下さい。 サポート内容、詳細についてはこちらのページをご覧ください。 開発元ではCMSを導入しても更新を継続していくのが難しいという場合の、Webサイト運用体制構築のコンサルティングも提供しています。 更新情報・お知らせ 2024/
Magic3 - プログラムが分からなくても使えるプログラミングレスCMS - Magic3
2019-04-12 RecentDeleted InterWikiName 2018-11-28 実装目標とリリース予定 2018-05-07 MenuBar 2017-08-03 Magic3 2017-03-06 BracketName 2014-03-14 ログイン 2014-01-17 管理者パスワード再送 2013-11-25 バックアップ DBのバックアップリストア コンセプト - プログラムが分からなくても使えるCMS † 動かないのはあなたのせい? 通常、プログラム知識がないとCMSは使えません。しかし素人がプログラムを触れば触るほど壊れていくのがCMSです。 もがけばもがくほど底なしの沼に沈み、結局陽の目を見ることがなかったサイトは一体どれくらいあるるでしょうか。 Magic3は、プログラムのことがまったく分からなくてもかなりいろんなことが出来る、プログラミングレスCM
#16 Leap Motionでおっぱいを揉む - KAYAC Engineers' Blog
どうも。退職者です。@damele0nです。 teck.kayac.com Advent Calender 2013 15日目のエントリです。 前日は、まったく恨んではいないのですが僕のプライベートな情報を社内でリークした @handlename 先輩の #15 SublimeTextでも使い捨てファイルを開きたい でした。まったく恨んではいないのですが。 さて、去年は「JavaScriptでおっぱいを動かす」というエントリでtech.kayac.com Advent Calendar 2012の2日目から世間様に苦言を呈されたという事態を踏まえつつ そもそも退職者という身分でありかつ、渋谷のディストピアこと闇リエで勤務しているということをわきまえながら Leap Motionでおっぱいを揉みたいと思います。 Leap Motionって? もはや説明不要でしょうか。 [公式サイト] 今年(
PDOでの数値列の扱いにはワナがいっぱい — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
PHP Advent Calendar 2013 in Adventarの15日目です。 みなさん、史上空前のSQLのエスケープブームの中、いかがお過ごしでしょうか? なお、「我が社のプリペアドステートメントは大丈夫なのか?」という疑問をお持ちの方には、以下の記事をお薦めします。 漢(オトコ)のコンピュータ道: SQLインジェクション対策に正解はない さて、あまりにエスケープが人気なので、プリペアドステートメントにもう少しがんばってもらいたい気がしました。そこで、今日は、以下の徳丸さんの大変に力作な記事に関連した、PDOでのプリペアドステートメントについての記事を書いてみたいと思います。 PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた | 徳丸浩の日記 一応、今でこそPDOは普通に使われていますが、細かい点までみていくと、仕様なのかバグなのか、あるいはこ
コメントの9割は無駄!~アンチプラクティスから学ぶ洗練されたコメントの書き方~ #code #コード|CodeIQ MAGAZINE
コメントは基礎的で一般的なものでありながら、「どのようなことをコメントに残すか」は経験のあるプログラマにとっても難しいもの。 この記事では、アンチパターンコメントを見ながら、どのようなコメントを残すべきかについて説明します。 by 馬場美由紀 (CodeIQ中の人) コードは機械のために、コメントは人間のために? プログラミング言語を学ぶとき、コメントは最初に習う項目のひとつです。そして、プログラムであればコメントを含んでいることが普通です。ある研究によれば、ソースコードの平均19%がコメントだそうです。 コードを書くとき、私たちは機械とコミュニケーションを取ることを意識しています。機械はコードを認識してコンパイルしたり実行してくれます。解釈できなければ教えてくれます。プログラマは、コンパイラのためにデータ型を明示するコードを書いたりもします。 一方、コメントは人間とコミュニケーションする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Symfony CMF