【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください（編集部） Security&Trustウォッチ（60） 今夜こそわかる安全なSQLの呼び出し方 ～ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対

一日予定より早いですが切りが良いので、はてなダイアリーでの更新終了及び、移転先新Blogについてお知らせします。 新Blog 適宜覚書-Fragments 開始時期：2010/3/1より（但し、適宜覚書はてな異本データインポート済み。実質2/26より開始） BlogApp：WordPress（2.9.2 Stable+日本語） RSS:適宜覚書-Fragments RSS 異本の次は断章とか…まあなんというか感想に困るネーミングですが宜しくお願いします。 旧Blog（ここ）について 終了時期：2010/2/28まで（本記事投稿をもって終了。必要な修正のある場合は追記修正） 旧Blog保存期限：特に定めず。既に過去記事は適宜覚書はてな異本のURLでパーマネントリンクが多くあるため、参照を切ることが無いよう削除はしません。 移転経緯 閲覧されている方には全く関係の無い背景で、移転に伴いご面倒を

最近，「SQLインジェクション」の危険性について語られる機会が増えているが，SQLインジェクションの正体，その問題点，そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは，SQLインジェクションとは何かを明確に定義し，どのようにして行われるかを説明し，SQLインジェクションから組織を守る方法を読者に伝えることによって，この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは，アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性，または欠陥である。SQLインジェクションは，ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し，それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は，コーディング・エラーの性質によって様々である。 具体的に言うと，その影響は，エ

Web2.0とは何かを定義するのは難しいが，大きな流れとしてテクノロジからビジネスへと多くのエンジニアが視点を移していることは間違いないだろう。言語，設計，コンパイラ，ライブラリ，といった要素技術から，SOA（Service Oriented Architecture）の視点，例えばGoogle APIをどのように使ってサービスをミックスし，新しいビジネス価値を提供できるか，というサービスの視点がより時代に合ったものになっていると思う。エンジニアがビジネス・モデルに関心を示し，ビジネスの言葉で技術を語るようになってきているのだ。さらに，アジャイル開発の考え方が浸透し，「ビジネス価値（Business Value）」を開発の最優先とする考え方が広まっているという背景もある。 この連載では，このような時代におけるソフトウエア製品開発にはどういった視点が必要か，また，その開発はどのような手法によ

http://selenium.thoughtworks.com/index.html JavaScriptを使い実際のブラウザを介してテストするseleniumがヤバすぎる。便利すぎ。Web案件なんつーのはほんと最終フェイズになってもMVCで云うモデルに当たる部分が「仕様変更」の一言によって変更されることも多々あって、そんなときは各種testが書き直しになったりする。んで最終で時間がない状態じゃtest書き直せる訳もなく人海戦術で無理矢理なんとか仕上げる、つーのがいまのWeb案件の大概の末路の気がするんだけどそれはおいといて。 このseleniumを使えば、簡単な記述で人間が実際にブラウザを操作してテストしている部分の大半である画面遷移、フォームの入力、ヴァリデーションの正否がなどが行える。つまりインターフェイスの仕様が変わらなければ延々とテストし続けられるわけだ。最後の受け入れテストの

前回、ロングテールによるマッチングがインフラ化しつつあるという話を書いた。Googleというきわめてすぐれた検索エンジンが登場したことによって、検索エンジン経由で企業と企業、個人と企業、個人と個人が新たな出会いを作り出すことができるようになった。いまや検索エンジンの存在なしにはマッチングは考えられなくなっており、その意味で検索エンジンはロングテールによるマッチングのインフラ＝プラットフォームになっているのである。 日本最大クラスのCGMコンテンツを持つ楽天 ここで気をつけなければならないのは、新たなマッチングができあがっているからといって、それがイコールWeb2.0とは言い切れないということだ。たとえば楽天。同社の三木谷浩史会長は2006年8月18日、2006年6月中間連結決算の記者会見で、Web2.0への方向性を打ち出した。＠ITの垣内郁栄記者が書いた記事には、こう書かれている。 三木谷

このコラムについて 現在の企業再生は、財務面だけでは不十分。再生ファンドや金融機関の中には「現場改革」の重要性に気づき、コンサルティング会社と手を組むなどして本格的な“内科手術”に取り組む者も出てきている。こうした本気の企業再生に取り組む人たちのインタビューや行動を、日経情報ストラテジーが10回にわたって紹介する。 記事一覧 記事一覧 2006年9月5日 第10回（最終回）「その業界のプロの仕事には感動すら覚える」 企業再生に投資するゴールドマン・サックス証券 今回登場するのは、米大手証券会社ゴールドマン・サックス東京支店戦略投資部の3人のヴァイス・プレジデント。トークツ・グループとアルプス・カワムラの再生案件で、リヴァンプと提携し企業再生を進める。 2006年9月4日 第9回　「ファンド会社の依頼で 企業再生を支援」 日本能率協会コンサルティング・富永峰郎事業部長に聞く 日本を代表する経

企業の経営戦略をリードする戦略コンサルタント。多くの情報の中から本当に重要なことを見極め，ときには物事を100年単位の大きな視点で捉えてみる。その仕事の進め方や思考法に学ぶべき点は多い。SEから戦略コンサルタントへの転身を果たした筆者が，自分の経験を踏まえ，問題の本質を捉え，3倍のスピードで仕事をこなすコツを伝授する。 読者の中には，ITエンジニアとしてのキャリアのゴールをコンサルタントと考えている人も多いのではないだろうか。 しかし，プログラマやSEとコンサルタントとは，ものの考え方や発想法が根本的に違うと言ってよい。そのためSEからコンサルタントへの転身を図るのは，かなりの苦労を伴うものだ。 今回は，かつて筆者が日本IBMのSEから戦略コンサルタントへと転職した経験を踏まえて，コンサルタントの仕事ぶりや思考法を紹介する。コンサルタントへのキャリアアップを目指す際の参考にして欲しい。また

SEなどIT関連専門に人材サービスを行っている企業が、労働者派遣法※に違反しているとして公共職業安定所（職安）から警告を受ける事態が起こっている。背景には現行の派遣法が、ネットワーク時代のサービス業の在り方やIT業界での働き方に対応し切れていない点がある。 業界でありふれた外部委託が違法 職安から警告を受けているのは、大手人材派遣業者、S社の子会社で、SEの派遣やシステム開発の請負などを行っているA社である。問題となったのは、次のような形態のサービスだ。 仮に大企業X社が、あるシステム開発をA社に発注したとする。このとき、X社とA社とは業務委託契約を結ぶ。実際の業務は、A社の社員、あるいはA社と契約を結んだ人がX社に詰め掛け勤務することになる。 しかし、仕事のできるSEは昨今どこでも不足がち。A社が確保した人材だけでは足りないことが往々にしてある。こうしたとき、A社は同業のB社を孫請けとし

（前編から読む） 前回に引き続き、スクウェア・エニックス社長であり、2006年5月25日にCESA(社団法人コンピュータエンターテインメント協会)の会長に就任した和田洋一氏にインタビューをお伝えする。専用のゲーム機に縛られた時代が終わり、現在は端末もメディアも選ばない業態になる移行期にある。前編でも語られた著作権問題の研究を進める一方で、新しいゲームを生み出すためには、企業経営のスタイルも変わっていく、と和田氏は予想していた。ゲームビジネスの「長期予報」、ぜひお読み頂きたい。 ――日本における著作権は、海外の法律をそのまま引用して作ってしまった。実態を追い掛け、追い掛けとやっている間につぎはぎになり、もう誰が読んでも分からないものになりかけていると聞きます。 日本だけではなく、各国ともそうです。みんなばらばらなんですよね。今こそが、著作権ということを考えるタイミングだと思いますよ。 そもそ