書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
郵送までしてくれる請求書作成サービス「MakeLeaps」はフリーランスの味方! | ライフハッカー・ジャパン
毎月、請求書の作成に追われていませんか? フリーランスとして働く私も、わずらわしい請求書は後回しにしてしまいがちで、いつも月末になって慌てて作業をしています。エクセルでひな型は作っていても、金額を入力し、印刷して押印・郵送までするのはかなり手間がかかりますよね。 本来ならお金に関わる大切なことなので、間違いのないように行うべき作業なはず。何とか早く正確にできないかと考えていた私に一筋の光を与えてくれたのが、「MakeLeaps」というオンライン請求書・見積書作成サービスでした。 今回はMakeLeapsを実際に使用してみて、良かった点、気になった点などを紹介します。■シンプルな管理画面で登録もラクラク MakeLeapsを使用するためには、まずトップページにアクセスし、基本情報の登録(無料)が必要です。請求書の自社欄に表示される個人情報の登録と、会社のロゴや社印、個人印の画像をアップロード
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
