書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
PHPマジカルしばり + Raspberry Pi でPHPを動かしてみた - かれ4
開発者たちは魔法使いに憧れているんでしょうか PHP Advent Calendar 9日目です。 昨日はPHPerのみんなに知ってもらいたい、PHPの重要なことでした。 今日はまじかるしばりなPHPです。 マジックメソッドとマジカル定数で色々と遊んで見ようと思っていたところになんとタイミング悪く、 名刺サイズのLinuxマシン「Raspberry Pi」が届いてしまい、残念なことに急遽それどころでは無くなってしまいました。 どうしても我慢できなくて、Raspberry Piで遊びたくて、 無理やりPHPにこじつけていじれないか検討した結果、 RaspberryPiでPHPを動かしてみるというのをしようと思いました。 が、、、、 pi@raspberrypi ~ $ sudo apt-get install apache2 php5 pi@raspberrypi ~ $ sudo /etc
PHPerのみんなに知ってもらいたい、PHPの重要なこと
このエントリーはPHP Advent Calendar 2012の8日目です。 昨日の7日目ははじかみさんの Integerの上限を超えてゆけ でした。 動的型付けの言語はintの限界値とかキャストとか知ってるのと知らないのでは大違いなので大変勉強になりました。 さて私ですが昨日のPostgreSQL Advent Calendar 2012に続いて更新です←ステマ 今日は今年一年で私や私の周囲でPHPにイラッとしたこと ハマったことをまとめておきたいと思います。 もし似たようなことに遭遇した時に「あれ?」って思った時の参考になれば幸いです。 1 5.2以上なのにjson_encodeが動かない よーしおじさん、JSONしちゃうぞー→Fatal error: Call to undefined function json_encode() in .... えっ?PHPのバージョンは5.3.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
