SQLインジェクションについて
SQLインジェクションについて ネタ元:$_GETを安易に受け入れちゃダメ! 前に書いたエントリー(re:キケンなSQLインジェクション)が誤解を与えてしまったようですので、もう少し補足しておきます。 まず、結論から書くと、 mysql_queryの場合はチェックが要らないって言ってるわけではないです。 そして、 mysql_real_escape_stringを過信してはいけません 様々なSQLインジェクション 複合クエリ $sql="select * from geekDB where id = " . $_GET['id']; $result = pg_query($sql); これは$_GET['id']の値が以下のような場合問題が発生します。 '';DELETE FROM geekDB; テーブルを丸ごと消すことが可能です。 前回のエントリー(re:キケンなSQLインジェクション
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起
ラックは10月2日,新手のSQLインジェクション攻撃を仕掛けるボットを確認したとして,Webサイトの管理者などに向けて注意喚起した(ラックの緊急注意喚起レポート)。同社では9月30日にボットを検知した。攻撃対象として確認されているのは,Microsoft Internet Information Server/Services(IIS)上のASP(Active Server Pages)/ASP.NETを使ったWebアプリケーション。今までとは異なる手口を使うため,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)といった防御システムをすり抜けてしまう。既に,ページを改ざんされ,悪質サイトへのリンクを埋め込まれたWebサイトも確認済みだという。 SQLインジェクションは,Webアプリケーションに不正な入力値を送ってSQLクエリーを実行させ,Webペ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
