書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
FB良品サイトリニューアルでXSS祭りまとめ
武雄市長とその周辺の人が作ったFacebookと無印良品を合わせたようなFB良品(http://fb-ryohin.jp/)という名前のネット通販サイトがリニューアルしたところ、あまりにすごいサイトで祭りになっていました。
孫正義「『何とかモード』やら『うちの庭は美しい』などと言っている日本企業はIT戦争に負ける」 - すまほん!!
それにしてもこの禿、ノリノリである。 SoftBankの孫正義社長は日経ビジネスの対談形式のインタビューに応じ、今抱いている野心と将来のビジョンの一端を明かしました。 スプリント買収について訊ねられた孫社長は、ビル・ゲイツ氏がジョブズ氏に「お前ほどの能力があれば、立派なソフト会社になれるのに」と言い、ジョブズ氏も「お前ほどの能力があれば、立派なハードウェアの会社になれるのに」と返したというエピソードを挙げ、現在マイクロソフトがSurfaceでハードウェアに手を出し、アップルもソフトウェアに力を注いでいるという事実を指摘。これからの時代はハード、コンテンツそしてネットワークを加えたこの3つを統合していかなければいけないとの持論を展開しました。 どういった周波数で端末を作ってもらうか、交渉力の重要さを改めて強調。アップルやグーグルは敵ではなく、パートナーであるとする一方、国内のネットワーク屋の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ついに発売!すごいじゃまな「ドアラ型イヤホンジャックカバー」を写真でチェック