タグ

関連タグで絞り込む (4)

タグの絞り込みを解除

設計とデータベースに関するortk11のブックマーク (7)

  • DB設計の神ツール「ERMaster」なら、ここまでできる

    DB設計の神ツール「ERMaster」なら、ここまでできる:ユカイ、ツーカイ、カイハツ環境!(11)(1/3 ページ) 無料のEclipseプラグイン「ERMaster」とは データベースのテーブル設計を行うときに皆さんは、どのようにしているでしょうか? いくつかの無料で利用できるツールが提供されているので、筆者はそれらを利用していましたが、最近「ERMaster」と呼ばれるEclipseプラグインの存在を知りました。 ERMasterは、ほかのツールに比べ、直感的で分かりやすいUI(ユーザーインターフェイス)に、カスタマイズ可能な、Excelで出力できるテーブル定義書、辞書機能など痒いところに手が届くERモデリングのツールです。稿では、このERMasterについてご紹介します。 ERMasterの主な特徴、8つ ERMasterには、主に次のような特徴があります。 【1】直感的で使いや

    DB設計の神ツール「ERMaster」なら、ここまでできる

  • 第2回 似て非なる言葉「オブジェクト」と「エンティティ」の関係 - ITプロフェッショナル・コラム:ITpro

    「オブジェクト」と似て非なる言葉に「エンティティ」がある。リレーショナル・データベース設計で使用されるER図(エンティティ・リレーションシップ・ダイアグラム)の「エンティティ」だ。だが「エンティティ」という言葉は,オブジェクト指向のにも登場する。それが「エンティティ・クラス」という言葉だ。また,UML(Unified Modeling Language)という表記法が登場するまでは,オブジェクト指向分析・設計においてもクラス図の代わりにER図が使用されていたことがある。 それと同様に,いくら説明を聞いても釈然としないのが,リレーショナル・データベースとオブジェクト・データベースの違いだ。それらの違いを概念から探り,整理していく必要がありそうだ。 今回は「オブジェクト」と「エンティティ」の概念の違いについて,アリストテレス先生に聞いてみたい。 (アリストテレスの経歴と業績などについては,末

  • Webアプリケーションの脆弱性を総括する

    SQLインジェクション ユーザー入力を使ってSQL文を発行しているアプリケーションに対して、不正な入力を与えることにより別の意味となるSQL文を発行させる攻撃のことである。ユーザー入力をそのままSQL文に使用してしまうことが主な原因である。 認証にデータベースを使用している場合、認証をバイパスされてしまうことがある。また、データベース内の任意のデータの参照やデータ改ざん、破壊といった攻撃を受ける場合もある。アプリケーションレベルの直接攻撃であるため危険度は非常に高い。 脆弱性が存在する可能性がある個所 当然SQL文を発行している個所が対象となる。SQL文を発行するであろう主な機能を以下に挙げる。開発時にSQL文を呼び出しているアプリケーションをすべてリストアップしておくと脆弱性検査が楽になる。 ログイン 検索 個人情報表示 何らかの処理のコミット(登録、買い物など) 対策 入力チェック サ

    Webアプリケーションの脆弱性を総括する

  • 2-1. SQL組み立て時の引数チェック

    ユーザからの入力を埋め込んで検索のSQL文を組み立てるということはしばし ば行われる。このとき入力データのチェックが甘いと,ユーザは自分の都合の 良いSQL 文を混入でき,データベースに干渉できるという問題が起こる。

  • 今夜分かるSQLインジェクション対策 ― @IT

    【関連記事】 内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対

    今夜分かるSQLインジェクション対策 ― @IT

  • SQL Injection対策 - ライティング・セキュアコード - Visual Studio User Group

    最近の大量個人情報漏洩事件などでは、SQL Injectionによる被害がほとんどです。 にもかかわらず、SQL Injectionとは何かすら知られていない場合も少なくありません。 実は私も「’」シングルクォーテーションをエスケープすれば大丈夫程度の認識でしたが、それだけでは十分ではないみたいですね。 参考資料として下記の資料を見つけました。 http://www.wasf.net/wg-eval-sql200509.pdf う~む、思ったより奥が深い・・・。 皆さんが日ごろ注意しているSQL Injection対策やお勧めの参考資料があれば、教えてください。shinchan55 To Be Continued...

  • SQL インジェクション

    SQL インジェクションとは、後で SQL Server のインスタンスに渡され解析および実行が行われる文字列に、有害なコードを挿入するという攻撃です。SQL Server では、構文的に有効であれば受信したクエリがすべて実行されるため、SQL ステートメントを構成するすべてのプロシージャにおいて、インジェクションに対する脆弱性を検証する必要があります。高いスキルを持つ決然たる攻撃者は、パラメータ化されたデータであっても操作できるのです。 SQL インジェクションは主に、SQL コマンドと連結されて実行されるユーザー入力変数にコードを直接挿入することにより行われます。それほど直接的ではない攻撃では、悪意のあるコードが、テーブル内の記憶領域に格納される文字列に挿入されたり、メタデータとして挿入されたりします。格納された文字列が動的な SQL コマンドに後で連結された場合、悪意のあるコードが実

    SQL インジェクション
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.