なんか作ります
■ このスレッドは過去ログ倉庫に格納されています
http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
対策が漏れている場合がある。
■セカンドオーダーSQLインジェクション
SQLインジェクション対策として、入力値を適切にエスケープするという対策を行うが、
この「入力値」が何なのか間違えていたり、チェックが漏れている場合がしばしば見受け
られる。また、HTMLを生成する段階でエスケープすればよいと考えている人も見受けら
れるが、それも間違いである。
フォームに入力可能な部分だけが対策個所ではない。不正な入力の可能性を考える
必要があるのは、GETやPOSTなどのクエリーやCookieの値、HTTPヘッダなど、HTTP
経由で送られてくるもの“すべて”と、それに加えてデータベースやファイルなどに保存
されたデータを呼び出す際にも対策を怠ってはならない。ここに問題があると、セカンド
オーダーSQLインジェクションと呼ばれる脆弱性を持つことになる。
次のような$uidの値を受け付けたときに「'」を「''」としてエスケープしてデータベースに
保存したとする。
これがもれてたw
$uid : ueno' union…… >>36-38
お手数かけて申し訳ないです。
実際のソース見て学んだほうが早いかな・・・・
OpenPNE、毛嫌いしてないで読んでみようかな・・・ あらたな物をつくるよりは時間はかからないよ
私もこれ使ってモジュールは作ってるから
デザインさえ変えれば用途はいろいろあるよ
住友生命だって生保レディ向けに開発して
業務連絡、新規募集案件とかつのってるから
今が勝負どころだと思うなSNSは
招待せいだがmixiのようなところは今からでは無理があるので
社内SNSの需要を見込んで手をつけるといいよ
Xshibuyaはデザ、プログラマとかを集めてマッチングサイトつくってるけど
現在1200人登録されてて、技術的なフォーラムが盛んだから
mixiとかより専門的なコミュや説明会が頻繁に行われている
Xshibuya招待してほしかったら招待するよ
Webプログラマも結構いるから >>40
学内SNSなんかに利用されたらうれしいなぁ
とりあえずおもしろくできればいいかなって。。。。 >>36
この人か、高木さんから叩かれている人は
http://takagi-hiromitsu.jp/diary/20061104.html
>はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。
>今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日
>また上野宣か。顔見知りなのでズバリいくことにする。 phpをオブジェクト化って・・・
知らなかった・・・・ XREAでffmpeg-phpを使って何かつくろう >>45
ぬこえもんさん、nukonekoの方のメルアドに
メール送っておいたんでよかったら読んでおいてください。 ぬこえもんさん、封筒の件についてメールさせて頂きましたのでご確認下さいませ。 SNSを作ろうと思ってるんだけど、ここを再利用しちゃっていいのかな? 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
IJ12MV8SXD ■ このスレッドは過去ログ倉庫に格納されています