MySQL の SQL エスケープ - tmtms のメモ
この記事は MySQL Casual Advent Calendar 2013 の15日目の記事です。 今、空前の SQL エスケープブームみたいなので、このビッグウェーブに乗っかってみます。 でも面倒なのでセキュリティについての話はしません。カジュアル! 文字列リテラルとエスケープ MySQL では SQL 中の文字列リテラルは次のように表現します。 'abc' -- シングルクォートで括る "abc" -- ダブルクォートで括る 0x616263 -- 16進数 x'616263' -- 16進数 0b011000010110001001100011 -- 2進数 b'011000010110001001100011' -- 2進数 各表記で charset を指定することができます _utf8 'abc' _utf8 "abc" _utf8 0x616263 _utf8 x'6162
そもそもエスケープとは何なのか?
(Last Updated On: 2018年8月16日)まずエスケープ処理について全て書こう、ということでPHP Securityカテゴリで様々なエスケープ処理について書いてきました。しかし、「エスケープ処理とは何か?」を解説していなかったので解説します。 エスケープ処理は文字列処理の基本中の基本です。 「エスケープは要らない、知る必要もない」という意見を稀に聞きますが、プログラムに於ける文字列処理とその重要性を理解していないからでしょう。全ての開発者はエスケープ処理の必要性を理解し、確実かつ適切にエスケープできなければなりません。 エスケープ処理の定義 エスケープ処理には複数の役割があります。エスケープ処理とは「エスケープ文字によって、それに続く文字に別の意味を持たせる処理」です。 通常、以下の3つの役割があります。 意味を持つ文字列にエンコードする(文字列に意味を持たせる) キーボー
IPAの「安全なSQLの呼び出し方」が安全になっていた
(Last Updated On: 2018年8月4日)IPAは「安全なSQLの呼び出し方」(PDF)を以下のURLから公開しています。 http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、内容を確認するとそうでもありませんでした。 訂正:ツイッターで徳丸氏に確認したところ、徳丸氏もエスケープを含めたSQLインジェクション対策が必要であると考えられていた、ことを確認しました。徳丸氏にはセキュリティ専門家として大変不名誉な記述であった事を訂正し、深くお詫びいたします。内容についての修正は、識別子エスケープについてブログに書くとの事でしたのでブログの内容を確認してから修正します。 別冊の「安全なSQLの呼び出し方」は基本中の基本である「正確なテキストの組み立て」によるセ
SQLのエスケープ
(Last Updated On: 2018年8月4日)SQLにエスケープなんて必要ないと考えている方も居るとは思いますが、現実にはエスケープを知っておくことは必須と言っても構わないと思います。 既にSQL識別子のエスケープについては書きましたが、今回はSQLエスケープというよりは安全にSQLデータベース利用する話です。先ずはエスケープの話を全て終わらせよう、と思っているのですがSQLエスケープのエントリが無いので作りました。私のブログを読んでいる方はエスケープ処理、プリペアードクエリの利用方法などはよくご存知だと思うのでここの部分は省略しています。 現在広く利用されているSQLデータベースのほとんどがプリペアードクエリをサポートしています。プリペアードクエリを利用すれば、SQL文とパラメーターを分離できるため、パラメーターがSQL文の一部として解釈されてしまう問題を回避できます。 プリペ
第一回 中国地方DB勉強会の資料
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
完全に秘密を守るコンピューターシステムを求めて
朝風呂に浸かりながら、今の私の知識を総動員して完全に秘密を守るコンピューターシステムを求めたらどうなるだろうかと、ぼんやりと考えていた。その内容を書きだしてみる。 今は政府や犯罪組織の諜報機関が暗躍する時代であるから、コンピューターシステムが利用者の秘密を守れるかどうかを考慮することはとても重要だ。たとえば、私が「もはやソフトウェア特許という害悪を日本から除くには、暴力革命しかない」などと考えて、その実行計画をコンピューターを使って以下のように練ったとする。 「日本の市町村の中で、ハーグ陸戦条約第25条に基づく無防備都市宣言を条例で定めようという動きがある。もし、実際にこのような条例を可決する市町村が出た場合、すぐさま安全ピンと果物ナイフとピストル型ライターで武装して侵攻する。すでに発した無防備都市宣言により、一切の抵抗なく、無血で占領できるはずである。占領後、すみやかに軍による暫定政権を
FSF publishes whitepaper with recommendations for free operating system distributions considering Secure Boot — Free Software Foundation — working together for free software
You are here: Home › FSF News › FSF publishes whitepaper with recommendations for free operating system distributions considering Secure Boot FSF publishes whitepaper with recommendations for free operating system distributions considering Secure Boot In the paper, the FSF outlines the difficulties Secure Boot poses for the free software movement and free software adoption, warns against the threa
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem's blog
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。 この状況で、セキュリティのことをよく知らない人がSQLインジェクション対策しようとした場合の行動を予測してみると、かなりの割合の人がGoogle等で検索して対処方法を調べると思われます。そこで、以下のURLでSQLインジェクション対策方法を検索した結果の上位のエントリを検証してみようと思い立ちました。 http://www.google.co.jp/search?q=SQLインジェクション対策 どこまで調べるかですが、以前NH
マイクロソフトのクラウド、欧州データセンターも米パトリオット法(愛国者法)の影響下だと認める
「たとえパトリオット法(愛国者法)に基づく要請があった場合でも、マイクロソフトは、EU内にあるデータセンターによってEU内に保存されているデータであれば、欧州の経済域から持ち出されることはない、と保証できますか?」 先日行われたOffice 365の正式なサービス開始に伴い行われたロンドンでの会見で、マイクロソフトUKのGordon Frazer氏はこのような質問を受けたと、ZDNetの記事「Microsoft admits Patriot Act can access EU-based cloud data」で報じられています。 米国企業が保有する海外のデータセンターもパトリオット法の影響下に Frazer氏の答えはこうでした。 Microsoft cannot provide those guarantees. Neither can any other company マイクロソフト
「DoS攻撃?」と悩んだら相談を、IPA - @IT
2010/11/30 情報処理推進機構(IPA)は11月30日、サービス妨害攻撃(DoS攻撃)に対する留意事項をまとめた報告書を12月に公開することを明らかにした。同時に、「情報セキュリティ安心相談窓口」を通じて、DoS攻撃に関する相談にも対応していることを改めて表明している。 DoS攻撃とは、インターネット経由で大量のデータや不正パケットを送りつけ、攻撃対象のシステムがサービスを提供できないようにしたり、システムそのものをダウンさせたりする攻撃だ。これを悪用し、恐喝や詐欺に発展するケースが発生している一方で、システムの不具合が原因となり、ユーザーに攻撃の意図がないにもかかわらず、システムに障害が発生してしまう可能性があるとIPAは説明している。 IPAでは、情報セキュリティ安心相談窓口を通じて、DoS攻撃が疑われる場合の相談に応じると表明。また、産学の有識者による「サービス妨害攻撃対策検
AKBファンはセキュリティ意識が低い?--カスペルスキー調査
Kaspersky Labs Japan(カスペルスキー)は11月29日、同社の個人向けセキュリティソフト「Kaspersky Internet Security 2011」のキャンペーンサイト「AKB48カスペルスキー研究所」を刷新した。同サイト内でウイルスなどのマルウェアへの傾向と対策を発表している。 11月に20〜40代の男女を対象としてネット調査を実施。「年末に買いたいもの」とセキュリティ意識を調査したところ(カッコ内の数字はウイルス対策に真剣に取り組んでいる割合)、男性は「お取り寄せグルメ(25.0%)」「書籍・DVD(26.6%)」「TVなどの家電製品(26.8%)」「パソコン・周辺機器(27.0%)」「インテリア用品(28.0%)」という順となった。 一方、女性は「洋服・靴(7.9%)」「ダイエット関連商品(8.6%)」「イベントのチケット予約(9.5%)」「玩具・ゲーム(9
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
Return-into-libcによるセキュリティ機構の回避 - 技術メモ帳
スタック上でのコード実行を禁止するようなセキュリティ機構を 回避する事が出来る方法、それが Return-into-lib(c) である。 仕組みはすごく簡単で、Stack-BOFと同じように リターンアドレスを書き換える。 そのときの書き換え先が共有ライブラリであるという点だけが違う。 共有ライブラリに処理の流れが変わるだけなので、 スタック上でコード実行を禁止していようが関係がない。 とりあえず、いつも通り 脆弱なプログラムに対して環境変数を利用した攻撃を行う。 それから少しずつ今回の攻撃手法に変えていく事にする。 $ ./vuln.o AAAAAAAAA segmentation fault $ export SHELLCODE=`cat ./shellcode` $ ./vuln.o AAAAAAAAA`printf "環境変数 SHELLCODE のアドレス"` sh-3.0.0
Twitterのセキュリティはどうなっている? 相次ぐダウンに疑問の声
再び攻撃を受けてダウンしたTwitterの対応や戦略に対し、セキュリティ業界から疑問を投げ掛ける声が出ている。 マイクロブログサービスのTwitterが再度のサイバー攻撃を受け、米国時間の6日に続いて11日も一時ダウンした。セキュリティ業界からは、同社の対応や戦略に疑問を投げ掛ける声も出ている。 英セキュリティ企業Sophosのブログによると、11日の攻撃では前回ほど大きな影響は出ず、Twitterは30分ほどで復旧した。前回の攻撃は政治的動機に基づくものとの見方が強まっているが、今回も同じ背景があるのか、それとも誰かがまねをしてTwitterをダウンさせてみようと思っただけなのかは分からないとしている。 ロシアのセキュリティ企業Kaspersky Labのブログでは、Twitterがなぜこうした攻撃に対処できないのかと疑問を投げ掛けた。 Twitterはサービスの人気は高まるばかりだが、
TwitterのURL短縮サービスでハッキング、200万のURLが改ざん
URL短縮サービス「Cligs」がハッキングされ、約200万のURLが別のサイトにリダイレクトされる事件が起きた。 マイクロブログサイトのTwitterで提供されているURL短縮サービスがハッキングされ、約200万のURLが別のサイトにリダイレクトされる事件が起きた。セキュリティ各社が6月16日、一斉に伝えた。 ハッキングされたのはTwitterで4番目に使われているというURL短縮サービスの「Cligs」。6月14日時点で約200万件のリンクが別のサイトにリダイレクトされていたことが分かった。 CligsのWebサイトに掲載された説明によると、Cligs編集機能の脆弱性を何者かが悪用し、短縮されたURLのリンク先を改ざんしたとみられる。同社は一時的に編集機能を無効とし、乗っ取られたURLを元に戻した。ただし、同社は5月初旬以降、URLのバックアップを取っていなかったため、それ以降に作成さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
