自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
投資にまつわる「切り捨て」を積み上げて儲ける合法的サラミテクニック - 太陽がまぶしかったから
photo by @Doug88888 私のマネー術 セツヤクエストのお題が「私のマネー術」に変わりました。なんだよ「マネー術」って? と思いつつ「運用法や貯蓄のコツ」だそうです。資金運用については何十冊の本になるぐらい色々な話はあるのでしょうが、まずは元手資金や運用益を必要以上に毀損しないことが重要だと考えています。 具体的に言えば税金や手数料や信託報酬や為替スプレッドなどです。例えば投資信託を行う際に5%の手数料が掛かる場合は、5%以上値上る期待値がなければいけません・・・ってのは嘘で、例えば100万円の元手があったら、まず資金が5%控除されるので95万円、それを100万円に戻には5.26%の値上がる必要があります。 しかも5万円は利益であるため所得税10%と復興特別所得税0.315%が掛かるし、この資金を拘束したことでの流動性リスクをかぶる必要があるし、素直に預金しとけば利息もついた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
