VOYAGE GROUP エンジニアブログ : 私男だけどタイポするECナビの中の人達って・・・
2012年12月07日11:17 カテゴリネタ 私男だけどタイポするECナビの中の人達って・・・ 二度目まして。中村(おみ) @tomomihoge と申します。 VOYAGE GROUP 社内ではECナビ事業本部にてエンジニアをしたり、 他人の日報にアスキーアートを貼り付けたりしています。 Advent Calendar 的なモノをやるぜ? と言う話にうっかり手を挙げてしまったので、 日曜日にふさわしい脱力系のどうでもいい話をしようと思います。 こんなタイポで盛り上がった、と言う話題。 次回はもう少しテクニカルなものを書くと言ったな。アレはウソだ。 ■EcanviController.class.php 去年の5月頃の事です。 Fuga 機能を実装するために、既存コードを参考にしようとHogeController のコードを読んでいた私。 EcnaviController から継承してる
書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
太陽光発電価格見積もりサイト紹介
増えている!無料一括見積サイト 近年、高まる太陽光発電の設置への興味・関心。 最近では、インターネットで簡単に太陽光発電に関する設置費用がどれくらいでできるのか、 各社取扱いメーカーを比較検討することができるようになっています。 比較検討サイトとしては、複数の施工業者に一括見積もりする「見積り一括型」と、企業に直接見積もりを依頼する「直接見積り型」とあります。 種類も多くて良くわからない太陽光発電なだけに、自分の希望に適した施行会社を選ぶことが簡単にできるサイトは便利。 見積もりを比較することで、意外と金額がバラバラであることにビックリしてしまうこともあるようです。 1社で検討するよりも、まずは複数の会社で比較検討すると満足度も高いものとなりますね。 以下は人気の見積もりサイトになります。 「産業用太陽光発電システム御見積」 産業用での太陽光発電システムを考えている人に便利な、一括見積もり
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今年は令和何年?
