Stoppt Datenverkehr Schaltet ungewünschten Datenverkehr bekannter Google-Programme ab.
Description: SQL Injection occurs when - using Connector/J - client-side Prepared Statement - String has U+00A5 - characterEncoding is not UTF-8 How to repeat: MySQL Server 5.1.30 Connector/J 5.1.7 - sample data mysql> select empno, ename from emp; +-------+--------+ | empno | ename | +-------+--------+ | 7369 | smith | | 7499 | allen | | 7521 | ward | | 7566 | jones | | 7654 | martin | | 7698 | b
ここ数日「MySQL + Connector/J(JDBCドライバ) + プリペアードステートメント」の話題がちらほら出ています。正確に把握はしていないですがSQLインジェクション対策→PreparedStatementという流れできた話のようです。 徳丸浩の日記 - JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 へぼへぼCTO日記 - useServerPrepStmtsを使うのが根本解決だとはおもう。けど…? id:kazuhookuのメモ置き場 - MySQL+Java でサーバサイドプリペアードステートメントを使うべきで「ない」理由 自分は元Connector/J開発メンバ(※インターン生として)でもありとても気になる話題なので、Connector/Jのソース解析も含めた説明をここで行いたいと思う。 プリペアードステートメント
アマゾンで予約していた>Eye-Fi Share SD型ワイヤレスメモリカード 日本版(正規品)が届きました! すごい! すごいですよこれ! USBに受信アダプタを挿してWi-Fiの設定をしてからカードをデジカメに入れるだけで、もう撮った写真がそのままパソコンに取り込まれます。私はMacでの写真管理はiPhotoを使っているのでそれを設定したら、自動的に「December 23, 2008」というアルバムまで作ってくれました。 もうカメラをUSBのコードに繋がなくていいのね〜。 設定次第でオンラインアルバムにもアップできるので、撮った写真をそういうサイトに上げている人にもとても便利だと思います。私は色補正とかトリミングをしてから使うことが多いのでローカル保存ですが。 外で撮った写真も、帰宅してからカメラの電源を入れるだけで自動的に写真を送ってくれるのが便利ですよね。頭のいい人が考えたんだろ
グーグルマップのストリートビューで閲覧できる神戸・南京町。スーツの男性ら歩行者も写っており、プライバシー侵害を指摘する声もある インターネット検索大手グーグル(本社・アメリカ)が全世界で提供している無料地図サービス「グーグルマップ」で、小中学校の児童生徒の自宅地図や企業の顧客リストなど、個人情報の流出が相次いでいる。兵庫県内でも11月、姫路市立中学校の家庭訪問用地図流出が判明。文部科学省は全国で30校以上の流出を把握している。専門家は「ネットの世界は自己責任が基本」と注意を呼び掛けている。(姫路支社・直江 純) 問題になっているのは、グーグルマップの地図中に目印を付け、住所や電話番号などを書き込んで個人用に保存できる「マイマップ」機能。 姫路市教委は十一月十四日、市立中の卒業生三十一人分の名前や、自宅が分かる地図が流出したと発表した。当時の担任が家庭訪問用に作った地図が、誤ってネット上に公
PreparedStatement使ってるのにSQLインジェクションが起きるんですけど?という話題。徳丸浩の日記 - JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性より。 再現したのでバグレポート投げておきました。MySQL Bugs: #41730: SQL Injection when using U+00A5です。すてきなパッチで解決されることを期待したいと思います。 うちの社内でcharacterEncoding使ってるところはないから大丈夫なはず…。と思っていたのですが、ブクマコメントをいただいたとおり、character_set_server=cp932の設定がされたmysqldにcharacterEncodingなしでつないだ場合もインジェクションを起こせますね。sjisもujisもeucjpmsもダメです。というわけで、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く