タグ

SQLに関するwizard_blueのブックマーク (2)

  • 自作検査ツール - SQLインジェクション編 - 2009-05-31 - T.Teradaの日記

    前回の日記からだいぶ日にちが空いてしまいました。 今日は、自作検査ツールのSQLインジェクション用シグネチャについて書きます。 SQLインジェクションの検査シグネチャとしては、以下の5種類を用意しています。 A. SQLエラー検出+簡易なBlind B. Blind 数値型・カラム名等 C. Blind 文字列型 D. 更新系クエリ E. 文字コード系 SQLインジェクションは、かなりの頻度で脆弱性が発見されること、また一般的に危険度の高い脆弱性であることから、シグネチャの種類を多くしています。 それぞれのシグネチャについて、以下で順番に見ていきます。 A. SQLエラー検出+簡易なBlind 最初に試すのはベーシックなパターンです。 イ:【元の値】'"\'"\ … SQLエラーになる ロ:【元の値】''""\\ … SQLエラーにならない ハ:【元の値】'"\'"\ … SQLエラーにな

    自作検査ツール - SQLインジェクション編 - 2009-05-31 - T.Teradaの日記
  • SQL ORDER BY - 1Keydata SQL入門

    SQL > SQL コマンド > Order By 今まで、 SELECT 及び WHERE のコマンドを二つ使って、テーブルからデータを選ぶことを勉強してきたが、それらのデータをどのように並べるのか、まだ触れていません。そこがとても重要なところ。実は、選ばれたデータをシステム的に表示する場合がが多いからです。昇順 (ascending) 又は降順(descending)の並び方があります。ここで、 ORDER BY コマンドを使えばいいです。 ORDER BY のプログラミングは次のようになります。 SELECT "フィールド名" FROM "テーブル名" [WHERE "条件"] ORDER BY "フィールド名" [ASC, DESC]; [] は WHERE 句が必ずしも必要とは限りないことを意味します。しかし、 WHERE 区がある場合、 ORDER BY 句の前に来ます。 AS

  • 1