書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
21.5インチの巨大すぎるタブレットとWiMAXをセット販売! GMOとくとくBB
■他社でご利用中のインターネットサービス解約違約金補助について 概要:現在利用中のインターネット回線からGMOとくとくBB WiMAXへお乗換えされた方に、解約違約金補助としてキャッシュバックします。 適用期間:2024年5月22日(水)10時~ 対象:本ページから適用期間中に現在他社で利用中のインターネット接続サービス(以下「他社サービス」といいます。)からWiMAXへお乗り換えされた方 特典:他社解約違約金等相当額をキャッシュバック(最大20,000円) ・以下の条件を全て満たした場合、申請フォームにてご提出いただいた他社サービスの解約に伴い発生する解約違約金等について、上限を20,000円として、キャッシュバックいたします。 ※消費税が加算されている場合は、消費税を加算した金額となります。 ・キャッシュバック対象の解約違約金等相当額は以下の通りです。 ① インターネット回線、テレビ、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
