Time-based SQL Injectionは意外に実用的だった
このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします。デモ映像ありです。 はじめに Time-based SQL Injectionという攻撃があります。これはブラインドSQLインジェクションの一種で、ある条件の場合に一定時間(例えば5秒)スリープし、そうでない時との応答時間の差で情報を盗もうというものです。1回のHTTPリクエストで1ビットの情報が得られるので、それを積み重ねることによって、いくらでも情報を盗めるはずです…理論的には。 しかし、「理屈はそうでも、時間が掛かりすぎるよね」ということで、深くは追っかけていませんでした。SQLインジェクションの検査には有効でも、悪用としての実用性はあまりないと考えていたのです。 きっかけ きっかけは、以下のYahoo!知恵袋に以下の質問です。 SQL
Modern SQL in PostgreSQL
SQL has gone out of fashion lately—partly due to the NoSQL movement, but mostly because SQL is often still used like 20 years ago. As a matter of fact, the SQL standard continued to evolve during the past decades resulting in the current release of 2016. In this session, we will go through the most important additions since the widely known SQL-92. We will cover common table expressions and window
開発者のためのSQLパフォーマンスの全て
前書き - インデックスの作成はなぜ開発者のタスクなのか インデックスの 内部構造 - インデックスは何に似ているか インデックス リーフノード - 二重連結リスト 検索 ツリー(Bツリー) - バランス木 遅いインデックス パートI - インデックスを遅くする2つの原因 where 句 - 検索のパフォーマンスを改善するためにインデックスを作成 等価 演算子 - 一致するキーの検索 プライマリキー - インデックスの使い方を確認 複合インデックス - 複数列に対するインデックス 遅いインデックス パートII - 前の問題点が再び 関数 - where句の 中での関数 大文字・小文字を区別する 検索 - UPPERと LOWER ユーザ定義 関数 - 関数インデックスの制限 インデックスの作り過ぎ - 冗長性の排除法 パラメータ化 クエリ - セキュリティとパフォーマンスのために 範囲 検
SQLアンチパターン(邦訳: 第2刷)をざっと通して読んだ | キムラデービーブログ
オープンソースデータベースを加速する「キムラデービー」のブログです。カレー日記を兼ねてます。なお著者は2010-06-01より日本オラクルに在籍していますが、本サイト(ブログ、またはウェブサイト)において示されている見解は、私自身の見解であって、オラクルの見解を必ずしも反映したものではありません。 以前、こんなことをいってたのですが、なかなか時間がとれず。。。。 今回時間がとれて通してみたので、気になった点だけを以下メモ書きです。 ほとんど重箱の隅をつつくようなものです。(特に問題となるような記述はねえっす) (1) 実践ハイパフォーマンスMySQ第3版の追記 表記ルールxix †1 監訳注: に以下も追記してもらえるとありがたいですね。。。。 なお実践ハイパフォーマンスMySQLはMySQL 5.5に対応した第3版が出版され邦訳もでています。 (2) サンプルデータベース xxi SER
SQLアンチパターン読書会 「ファントムファイル」
開催趣旨 SQLアンチパターンの内容について、ただ読むだけで終わってしまうのではなく、自分以外の方とディスカッションをする事によってさらにパターンを落とし込んでいくことを目的としています。 概要 SQLアンチパターンに記載されている対象のパターンについて、全員でディスカッションを行います。 パターン内容については当日さらっと確認するぐらいにとどめようかと思っております。そのため、読書会までは対象パターンの章については読んできてください。 スコープ 今回は書籍より「第11章 ファントムファイル(幻のファイル)」になります。 当日の流れ 19:45〜20:00 開場、受付 20:00〜21:45 ディスカッション 21:45〜22:00 振り返り 注意事項 ・書籍はお持ちください。書籍、電子版はどちらでもかまいません。 ・対象パターンについては読んできてください。 ・当日は4Fの会議室で開催し
qpstudy 2013.07の懇親会でRDBMSのインデックスに関するクイズLTをしてきた - このブログはURLが変更になりました
2013/07/28に開催されたqpstudy 2013.07の懇親会で、RDBMSのインデックスに関するクイズLTをしてきました。 発表資料はこちら。 インデックス使えてる?じぇじぇじぇ! from Takuto Matsuu 補足事項 発表では3問出題しましたが、本家のThe 3-Minute Test: What do you know about SQL performance?は5問あります。インデックスに自信が有る方は是非チャレンジしてみてください。 資料にも書きましたが、Use The Index, Luke!はインデックスを学ぶなら必見のサイトです。是非どうぞ。 Use The Index, Luke!の内容をまとめた書籍SQL PERFORMANCE EXPLAINEDについては以前このブログで紹介したのでそちらをどうぞ。PDF版もあります。 Use The Index,
SQLアンチパターンを読んだぜ! - yojikのlog
どうしようもない僕に献本が降りてきた! SQLアンチパターン 作者: Bill Karwin,和田卓人(監訳),和田省二(監訳),児島修出版社/メーカー: オライリージャパン発売日: 2013/01/26メディア: 大型本購入: 5人 クリック: 624回この商品を含むブログ (12件) を見る ありがとうございます。 結論を先に述べると、すごく読みやすくてためになる本です。 RDB使ったシステムを作っている人、特に長年やって人ならば必ず遭遇したことがあるアンチパターンのカタログです。アンチパターンが発生しやすい状況、悪影響や解決方法なども述べています。若い人は現実のシステムで失敗する前に予習できるので、絶対買ったほうがよいでしょう。「この問題!進研ゼミでやったところだ! 」 自分は論理設計のアンチパターンのあたりがお気に入りです。アンチパターン「ポリモーフィック関連」や「エンティティ・ア
SQLアンチパターン
本書はDB設計やSQL記述の際に避けるべき事柄を1章で1つ、25個紹介する書籍です。リレーショナルデータベースを中心に据えたシステム開発には、様々な場面で陥りやすい失敗(アンチパターン)があります。本書はデータベース論理設計、データベース物理設計、クエリの記述、アプリケーション開発という4つのカテゴリに分け、それぞれの分野におけるアンチパターンを紹介し、失敗を避けるためのより良い方法を紹介します。複数の値を持つ属性や再帰的なツリー構造の格納から、小数値の丸めやNULLの扱いに起因する問題、全文検索やSQLインジェクション、MVCアーキテクチャなど、実践的かつ幅広いトピックを網羅します。日本語版では、MySQLのエキスパートとして著名な奥野幹也氏によるアンチパターンを収録。データベースに関わるすべてのエンジニア必携の一冊です。 本書への称賛の声 監訳者まえがき はじめに I部 データベース論
SQLのインデックスについて解説した洋書が良かった件。PDF版もあるよ(2012/10/22までの割引購入クーポン有) - このブログはURLが変更になりました
最近読み終えたSQL PERFORMANCE EXPLAINEDという洋書がインデックスについて詳しく説明されてていい感じでした。原著はドイツ語で本人による英訳版らしく誤字いくつか目につきますが、インデックスについてここまで詳しく説明した書籍は他に例がありません。私が知らないだけかもしれませんが。 どういった内容か 複合インデックス、部分インデックス、クラスタインデックスの使うポイント、LIMIT、ORDER BY、GROUP BYでのインデックスの使われ方などが解説されてます。また、MySQL、SQL Server、PostgreSQL、Oracleの各実装の違いなども丁寧に紹介されています。対象バージョンが比較的新しいのもポイントですね。 詳しくは第二章まで読めるプレビュー版とその目次をご覧ください。 ペーパーブック版とPDF版あります 私が購入したときはペーパーブック版しかなかったの
SYSDATE に関する実験 - オラクル・Oracleをマスターするための基本と仕組み
SYSDATE で色々やってみる プログラミング作業をしていると システム日付関数 SYSDATE を 特に気を使うことなく多用している。 しかし、調べてみるとデータベースサーバーのリソースを一番消費している処理だったということが少なくない。 ユーザーSQLではもちろん、内部のSQLでも頻繁に呼び出される。オラクルで最も使用回数が多い関数と思う。 そんな誰でも使っている関数なのに、未だに良く分からない事が多い。(=仕様{振る舞い}を知っているだけ) SYSDATE および SYSTIMESTAMP は、ファンクションの位置付けになっている。 SYSDATE, SYSTIMESTAMP 関数・・・動きを観察して考えると、実に不思議でユニークな関数である。 通常 SQL 文の中では、いくつ記述しても 1回の評価しかされない。(1つのバインド変数のようにも見える) しかし、異なるコンテキスト*1
【回答編】SQL FizzBuzz - qaz76のブログ
「FizzBuzz問題を考えてみた(SQLスキル判定用)」改め「SQL FizzBuzz」 やはり、プログラミングパラダイムが他と異なるので。。 FizzBuzz問題を考えてみた(SQLスキル判定用) http://d.hatena.ne.jp/qaz76/20120325/1332674095 の準備していた回答をば。 ※コードは、最近なぜか身近なSQL ServerのSQLで。 コメントやTwitterでレスポンス下さった方々、ありがとうございました! SQL FizzBuzz問題 命題はこう。。 SQL FizzBuzz問題 1から100まで表示すること その数が3で割り切れるなら"Fizz"を表示すること その数が5で割り切れるなら"Buzz"を表示すること その数が両方で割り切れるなら"FizzBuzz"を表示すること SQLクエリで完結すること テーブルを使用しないことDDLを
Grass on SQL - still deeper
Overview ちょっと草植えときますね型言語 Grass をSQLで実装しましたという話. Grassはλ計算をベースにした関数型プログラミング言語です.公式ページの仕様を元にSQL(PostgreSQL)で実装しました. 他Grassについては上記の公式ページとかここら辺を参照. プログラミング言語/Grass - プログラミングスレまとめ in VIP うはwww Mosh で Grass 実装したwwww - Higepon’s blog - Mona OS and Mosh Example SELECT run_grass('wwWWwv wwwwWWWwwWwwWWWWWWwwwwWwwv wWWwwwWwwwwWwwwwwwWwwwwwwwww'); run_grass ----------- ww (1 row) SELECT run_grass('wWWWwwwwWWW
指定した範囲の行を取得するクエリ - HHeLiBeXの日記 正道編
DB2 Express-C v9.7.2のWindows版で使えていたLIMIT/OFFSETが同Linux版で使えなくて、プラットフォームによって違うのかと思ってしまい、同等のことができる構文をいろいろと調べた挙句、インストール直後の設定が違っていただけという。 で、せっかくなので、調べたいろいろをまとめてみようということで。 ただDBごとに並べても面白くないので(謎)、構文ごとにまとめてみるというアプローチで(更謎)。 前提として、次のようなテーブルを作っておく。 CREATE TABLE hoge(str VARCHAR(8)) INSERT INTO hoge(str) VALUES('bbb') INSERT INTO hoge(str) VALUES('ddd') INSERT INTO hoge(str) VALUES('fff') INSERT INTO hoge(str)
各DBMSで日付型の値から曜日を取り出す - HHeLiBeXの日記 正道編
最初、PostgreSQLでdate_part関数を使用している処理があって、それをMySQLではどう書けばいいかというのを調べたことから始まったのだが。 手始めに次のブログを見つけた。 馬場誠Blog(東京都世田谷区経堂のWebクリエイター)» ブログアーカイブ » MySQLで曜日ごとに集計する で、結局はMySQLではdate_formatは使わずに別の関数を使ったのだが、それも含めて、整理してみようと思ったらしい。 参考にしたのは、次の本。 【改訂第3版】 SQLポケットリファレンス (POCKET REFERENCE) 作者: 朝井淳出版社/メーカー: 技術評論社発売日: 2009/04/29メディア: 単行本(ソフトカバー)購入: 6人 クリック: 117回この商品を含むブログ (17件) を見るあと、次のWebページ。 00i.org IBM Knowledge Center
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Osquery
GitHub - filhodanuvem/gitql: 💊 A git query language
書籍『SQLアンチパターン』に関するつぶやきまとめ #sqlap
SQLアンチパターン - 開発者を待ち受ける25の落とし穴
http://atnd.org/events/33751
サービス終了のお知らせ