JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2008年12月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 今年のBlack Hat Japanには、はせがわようすけ氏が「趣味と実益の文字コード攻撃」と題して講演され話題となった。その講演資料が公開されているので、私は講演は聞き逃したが、資料は興味深く拝見した。その講演資料のP20以降には、「多対一の変換」と題して、UnicodeのU+00A5(通貨記号としての¥)が、他の文字コードに変換される際にバックスラッシュ「\」(日本語環境では通貨記号)の0x5Cに変換されることから、パストラバーサルが発生する例が紹介されている。 しかし、バックスラッシュと言えばSQL
少年犯罪データベース
○初めて来た方は、このあたりからご覧ください。 13歳以下の犯罪 異常犯罪 親殺し統計グラフ ○更新履歴と管理人による注釈は、こちらのブログをご覧ください。 少年犯罪データベースドア ○幼女レイプや児童虐待、小学生殺人が昔と比べて凄い勢いで減っているのが判ります。 子どもの犯罪被害 データーベース 文責は管理人の管賀江留郎にあります。 何か問題があれば消しますのでメールください。 このサイトのデータはできるだけ広めたいと思っておりますので、無断で自由に使用してください。 ただし、新聞記事などの引用は、法律上の引用の範囲で各自の責任のもとに使用してください。 返信がめんどうなので、いちいちデータ使用の許可を求めないでください。間違いの指摘は歓迎します。 いまのところのデータ完成度は50%で、日々更新しています。抜けている事件があれば教えてください。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
