Dnavi - 国立国会図書館 データベース・ナビゲーション・サービス
2008/10/11 09:00 ~ 10/14 12:00の間、 メンテナンス作業のため、サービスを停止します。ご了承ください。 平成20年10月1日 お知らせのRSS配信を始めました。 RSS配信(Dnaviお知らせ) 平成20年10月1日 読書は秋の夜長の楽しみのひとつです。読書に関係したデータベースを探してみませんか。 思いついたキーワードでデータベースを探すときは、「簡単検索」を使います。 例えば、「物語」「翻訳」「古書」「貴重書」 特定分野に関するデータベースは、「テーマ検索」からも探せます。 例えば、「社会科学」 > 「風俗習慣.民俗学.民族学」 > 「伝説.民話[昔話]」 インターネット上の様々な電子コレクションを「電子化資料」からご覧いただけます。 例えば、「近代化黎明期翻訳本全文画像データベース」「三重県郷土誌データベース」 現在の登録デ
自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
