タグ

ブックマーク / bakera.jp (1)

  • 怪談: SQLインジェクションの恐怖 | 水無月ばけらのえび日記

    ところが、同じチェックシートの『チェック3「内部データをのぞき見されているかもしれない」チェック』は、益は少しあるかもしれないが、それ以上に予期しないトラブル、具体的にはデータベースの破壊を招きかねないという点で、けっして「かんたん」というものではない。 (~中略~) SQLインジェクションの検査は、専門家がやっても時としてデータベースを破壊しかねないものであるので、診断に先立って必ず免責事項を取り交わす。そのような危険を伴う診断行為を一般ユーザに試させるのであれば、まずは安全第一の検査パターンを紹介した上で、診断に伴う危険性を十分に告知することが検査会社としての責務であると考える。 これ、個人的に恐怖体験があります。 「JVN#92832583 Advance-Flow におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」というのがありますが、私がこれを発見したとき、同時にS

    y-kawaz
    y-kawaz 2008/11/19
    何でSQLインジェクションの対策として「プレースホルダを使おう」じゃなく、シングルクオートに気をつけようとかいう人が多いのか?自分で気をつけたりエスケープしたりするものですら無いと思うんだが。
  • 1