2009-10-01から1ヶ月間の記事一覧
バインド機能を使えば、ほぼすべてのSQLインジェクションの脆弱性を防ぐことが出来るのは良く知られていると思いたい。しかし、アプリケーションの仕様によっては、検索項目やソート順を自由に変更したい場合がある。この場合、バインド機能では残念ながら対…
私が3年前(2006年)に「SQL Injectionの仕組みと対策」を執筆していた時には、既にJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題はそれ以前からスラッシュドットジャパンでも取り上げられていました。/.で取…
なんかネタが浮かんだので書いてみる。
http://b.hatena.ne.jp/into_the_blue/20091001#bookmark-16421068 語弊がある言い方だけど、セッションIDってそもそもユーザ認証ではなく、ユーザ識別だと思う。 セッションが生きている場合に限り、どのユーザがリクエストを送信しているのかを識別するも…