ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

2009-10-22から1日間の記事一覧

動的に検索項目を指定したい場合のSQLインジェクション対策

バインド機能を使えば、ほぼすべてのSQLインジェクションの脆弱性を防ぐことが出来るのは良く知られていると思いたい。しかし、アプリケーションの仕様によっては、検索項目やソート順を自由に変更したい場合がある。この場合、バインド機能では残念ながら対…

何故かあたり前にならないエスケープ処理

私が3年前(2006年)に「SQL Injectionの仕組みと対策」を執筆していた時には、既にJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題はそれ以前からスラッシュドットジャパンでも取り上げられていました。/.で取…

だるい

なんかネタが浮かんだので書いてみる。