Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
SQLとJSONをNode.js上で組み合わせた新言語「ql.io」をeBayが公開
eBayが、JavaScriptアプリケーションからSQL文のような形式でデータベースへの問い合わせを記述できるDSL(ドメイン固有言語)のql.ioを発表。オープンソースとして公開しました。 現在、多くのWebアプリケーションが、バックエンドとのデータのやりとりにHTTPをベースにしたAPIを用いています。しかし、WebベースのAPIによってデータを取り出すのは、プログラマにとって実は手間のかかることです。 例えば、キーワードを入力すると関連する商品の名前、詳細、購入者の評価をユーザーに表示する、というWebアプリケーションでは、まずキーワードでデータベースを検索して商品IDを取得し、今度はその商品IDをキーにして名前や概要、評価の情報を取得する、といったように、APIを繰り返し呼び出す必要があります。 ql.ioはこうした内容をSQLのように分かりやすい記述で実現するだけでなく、複数の
【レビュー】JSONクエリエンジン紹介5つ | エンタープライズ | マイコミジャーナル
secretGeek JavaScriptではJSON形式でデータを保持しておくことが多い。シンプルで扱いやすく、evel()で評価するだけでオブジェクトとして取り込むことができる。入出力も簡単で、JavaScript以外の言語でもJSON形式のデータを扱う機会が増えている。 このJSONデータを操作するためのエンジンのひとつにJSONクエリエンジン、またはJSONクエリ言語、JSONクエリライブラリと呼ばれるものがある。JSONデータから特定のデータを抜き出して別のJSONオブジェクトを生成するといったもので、ブラウザ側でデータの整形をする場合などに利用できる。たとえばサーバからデータをJSON形式でダウンロードしておき、実際に表示するデータは条件に応じてJSONクエリエンジンが選別したものを表示する、といった使い方ができる。 JSONクエリエンジンが採用しているクエリ言語は多種多様だ。
Big Sky :: XSLTも使わないAmazon最速検索
2009/07/16 追記 AWS認証制限に対応しました。本文中はそのままですが、デモには非公開キーを使用してアクセスするCGIに変更しています。 時代は便利になった物です。 MOONGIFT: » XMLをJSONにするXSLT「xml2json.xslt」:オープンソースを毎日紹介 xml2json.xsltを見ていたらma.la氏のAmazon最速検索を思い出した。あちらはAmazon AWS専用になるだろうが、xml2json.xsltはそれをもっと汎用的なものにしたと考えられるだろう。 http://www.moongift.jp/2009/04/xml2json-xslt/ javascriptとXSLTを使うならば、AWSサーバから見えるサーバを用意しないといけないのですがYahoo! YQLを使えばそれも要りません。 YQLといえばPipesに毛の生えた様な物だと思う方もい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
