続:SQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem's blog
前回のエントリSQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem(徳丸浩)の日記に対応して、mi1kmanさんのブクマ経由で、訂正が出ていることを知った。 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 http://www.impressit.co.jp/inside/?p=791 なんとなく私のエントリの断片が散りばめられているのを別にしても、『悪意あるSQL文…の実行を阻止することができる』というあたりに、サニタイズ的発想が依
Perl勉強:Windowsでモジュール作成のメモ|とある技術者の日記
Part1 正しいPerl/CGIの書き方:ITpro 日経ソフトウェアの記事を読みながら、実際に動かして確認しているのですが、この記事はわかりにくいです。もっと詳細にして欲しいところです。どんな基礎知識を持っている人を前提としているのか、と突っ込みたくなります。 どちらかというと、日経ソフトウェアは初心者~中級だと思うので、なんか不思議です。 メモ 戸惑ったところを書いておきます。 WindowsでActivePerl5.8.8build822で行っています。 1.Module::Starterのインストール Linuxだと「cpan i- Module::Starter::PBP」でインストールできますが、Windowsだとppmで行います。 そしてコマンドでなく、マウスでインストールできます。 ActivePerl→Perl Package ManegerでPPMが起動します。 そし
2009-02-26
http://www.milw0rm.com/papers/288 後で読む 夫ユーザがXSSという、バグのような脆弱性のようなものに熱中しています。 やってみたら?と言われて地球防衛軍で監視したところ、平日・休日関わらず、一日のうちに何度も、攻撃がされていました。 やjavascript:alert(document.cookie);を送るのではなく、+ADw-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-が、数行ぐらいずつリクエストとして連なっています。 夫ユーザの趣味の仲間も参加していて、最初は、脆弱性を発見するとスカッとするのかな、と思っていたのですが、一緒にドラマを見たり脆弱性を修正したり、子供と出かけたりサイトを更新した後、夫ユーザがリアルタイムでIPAに報告しているのを見ると、興ざめするようになりました。 最近では、
はてなブログ | 無料ブログを作成しよう
うめぇヨーグルトソースでもいかがですか。個人差にもよりますが。もしよろしければ。 お久しぶりです。 最近うんめぇ〜と思ってるヨーグルトソースがあるので、書いていこうと思います。 ヨーグルトとハーブ類をもりもり使うので、そういうのが食べられない方にはうんめぇソースではないです。ごめんなさい…。もしよろしければお茶だけも…旦~ 【用意する…
GoogleによるTwitterアカウント登場 第一声はバイナリコード | 教えて君.net
つぶやき投稿サービス「Twitter」に、Google公式のアカウントと思われるページが登場。アカウントが登場して数時間と間もなく投稿数も数えるほどだが、すでに7000以上のフォロワーがついている。 記念すべき最初のつぶやきは「I'm 01100110 01100101 01100101 01101100 01101001 01101110 01100111 00100000 01101100 01110101 01100011 01101011 01111001 00001010」 というもの。これを10進数に変換してアスキーコードに当てはめると「(I'm) feeling lucky」となる。以降はGoogleオフィシャルブログの更新情報となっており、今後はひょっとしたらGoogleの最新情報や他では見られないつぶやきが見られるかもしれない。Twitterユーザーは要フォローだ。 ・T
娘を強姦した男に母親が復讐。ガソリンをかけて焼き殺す |デジタルマガジン
娘を強姦した男に母親が復讐。ガソリンをかけて焼き殺す 2009年02月26日 8:00 by.Shinohara photo:mrquackyduck 2005年、スペインにて娘を強姦した男に対して母親が復讐するという事件が起こりました。ガソリンをかけられて焼かれた犯人の男は、その傷がもとで病院で死亡しました。 1998年、アントニオ・コスメ・ベラスコ・ソリアーノ(当時62歳)は、13歳の少女を刃物で脅して強姦しました。ソリアーノは逮捕され、懲役13年の判決を受けたのち、控訴して最終的な刑期は9年となりました。 そして7年後の2005年。3日間だけの外出許可を得たソリアーノは、故郷の町へと戻ります。町のバーへ向かう途中、ソリアーノは過去にレイプした娘の母親に出会いました。 「お嬢さんの具合はどうですか?」伝えられるところによれば、ソリアーノは大声でこのように言って母親を
今思い返すと、あれはつまり詐欺師か何かだったのだろうか: 不倒城
今日はなんだか良くワカラナイ人と対話をしてきた。 先に断っておくと、ちょっと長文になる。ご了承頂きたい。 休日とはいえ会社は営業日である。私は単なるシステム屋であるので、別に休日大した仕事がある訳でもないのだが、一応顔を出してきた。システムチームでは私はけっこーまめな部類の人間である。 で、出社してみるとなにやら応接室に人が来ているのだが、どーも騒がしい。副社長に話しかけられた。 「ああしんざきさん、丁度いいとこに。なんかセキュリティがどーたらって人が来てるんだけど、良く話がわかんないんだよね。てきとーに話聞いてみてくれない?」 副社長がこーゆー言い方をするというのは、要は「どうでもいいから適当に追い返せ」の指令である。どーも、システム屋が何かの売り込みに来ている様な話だ。うちの会社の人々は交渉ごとには海千山千なのだが、システム関連の話にはあんまり強くない。 なんだか御社のシステムにセキュ
第4回 CSRF対策完結編~トークンでトークしよう! | gihyo.jp
<前回のお話> プログラミング未経験(14歳)とは思えない抜群のセンスを発揮しだしたわかばちゃん。しかし、次々に繰り出したCSRF対策も、はまちちゃんにことごとく跳ね返されてしまいます。それじゃ、いったいどうすれば…!? 気になるCSRF対策完結編のはじまりはじまり! まとめ ついに完結したCSRF編。いかがでしたか。CSRFされては困るような大事な画面では、このようにトークンと呼ばれる「合い言葉」を使って、CSRFへの対策が行われることが多いのです。トークンについての詳細はマンガでは省略していますが、イメージは掴んでいただけたでしょうか。 「トークンを使った方法」と一言で言っても、実はさまざまな実装方法があります。よく使われているのは、セッションごとに1つのトークンを発行(固定トークン)、またはフォームの出力時に毎回トークンを発行(ワンタイムトークン)して、セッションデータへ格納して
[Think IT] 【OS-1グランプリ】読者が選ぶ!最強サーバOS!第1回:結果発表!栄冠はどのOSに? (1/3)
OS-1グランプリ、最強サーバOSを決定せよ! 6月の特集1は「OS-1グランプリ」、数あるサーバOSの中からいくつかをピックアップし、さまざまな角度から解説してきた。おかげさまで、サーバOSを取り上げたどの記事も安定的な人気を得ることができ、読者の皆さまからも記事評価にさまざまなコメントをいただいた(読者の声と編集部からの回答はこちら(http://www.impressit.co.jp/inside/))。 最終日となる本日はいよいよ最強サーバOSを決定しよう!最強サーバOSを決定するのは、読者の皆さまからいただいたアンケート結果だ。ここであらためて今回実施したアンケートについて紹介しておこう。質問の内容については、図1を参照してほしい。 今回の有効回答件数は、482件!自由コメントの欄にもさまざまなご意見をいただき、大変貴重なデータを得ることができた。編集部より、あらためて読者の皆さ
インプレスIT INSIDE
読者から Windows Vistaで発生するデータベーストラブル対応指南 第3回:Microsoft SQL Server 2005で必要な対処(後編) ■記事URL http://www.thinkit.co.jp/cert/article/0707/14/3/3.htm ■評価 大変参考になった ■コメント 文字コードの問題は、常に意識しなくてはならない事であり、今回の記事は、大変参考になりました。 やはり、Sqlサーバーに限らず、MSの製品は、殆ど全てが中途半端(永遠のβバージョン)で、それなりのシステム規模では、Oracleしか選択の余地が無い事を再認識した次第です。 どうも、ありがとうございました。 編集部より コメントありがとうございます。近年のソフトウェアは進歩も非常に早いため、刻々と変化しております。また、さまざまな技術革新も起きておりますので、今後とも
[Think IT] 第1回:JSONってなにもの? (1/3)
JSONとは何か? JSONとはJavaScript Object Notationの略で、XMLなどと同様のテキストベースのデータフォーマットです。 その名前の由来の通りJSONはJavaScriptのオブジェクト表記構文のサブセットとなっており、XMLと比べると簡潔に構造化されたデータを記述することができるため、記述が容易で人間が理解しやすいデータフォーマットと言えます。 なお、JSONは2006年に「RFC 4627(http://www.rfc-editor.org/rfc/rfc4627.txt)」として公開されています。 例としてXMLとJSONで同じデータを記述したものをリスト1とリスト2に示します(図1)。 リスト1のXMLではすべての情報をタグで囲んだテキストノードとして記述していますが、XMLでデータを表現する場合、データの記述方法として属性とテキストノードの使い分けが
インプレスIT INSIDE » 訂正 SQLインジェクションの対策(Think IT)
訂正記事 SQLインジェクション大全 第3回:SQLインジェクションの対策 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 しかし、LIKE句を含むSQL文などについてはバインド機構の適用に注意を要する。これは、「%」や「_」といったワイルドカード文字がバインド機構によってエスケープされないため、割り当てる変数の内容によっては予想外の問い合わせ結果が返ってくる可能性があるからだ。この場合、バインド機構に変数を割り当てる前に、エスケープ処理を使用して、変数に格納されて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/google/status/1251523388
PC