PHP系フレームワークもインジェクション！徳丸先生による「実例で感じるセキュリティー対策」 #phpcon2015 #phpcon2015_1

KazuakiM @kazuakim4tw

#phpcon2015 プレースホルダーを安易に作ると徳丸さんに怒られる。

牛乃介@コスモスが咲き続けた場所 @gyuunosuke

プレースホルダーの仕組みを安易に自作すると、徳丸先生に怒られる #phpcon2015_1 #phpcon2015

山岡広幸｜合同会社テンマド @hiro_y

SQLインジェクション実演始まった #phpcon2015_1 #phpcon2015

Keeth@ゆめみ🎤音声配信系エンジニア @kuwahara_jsri

SQLインジェクションがあれば、大抵個人情報も漏れる。 #phpcon2015

KazuakiM @kazuakim4tw

徳丸さんが秀丸さんを使っている貴重な場面 #phpcon2015

りっちゃん @rittyan

idの値を精査すれば良いと思ったがSQL文自体をちゃんとしたほうが良いよな。。。 #phpcon2015_1

みょこ @myokoym

削除のリンクをコピーして、「722」（自分の投稿のID）を「722-2」に→他の人が投稿したID720の投稿を削除できる #phpcon2015_1

ゆちみり @yuchimiri

Track1は徳丸さんのセッションで満員です！ #phpcon2015 #phpcon2015_1 pic.twitter.com/e2tDGvfpFf

拡大

牛乃介@コスモスが咲き続けた場所 @gyuunosuke

前回聞いたのと同じ内容多いけど、徳丸先生のセッションは面白いなぁ　SQLインジェクション実演見れるのすごい #phpcon2015 #phpcon2015_1

suzuki @suzuki

ブラインドSQLインジェクション、1byteずつ抜き出すこともできる（だから気付かれにくい？） #phpcon2015 #phpcon2015_1

りっちゃん @rittyan

ただ、残念ながらPHP入門書を使わず自社独自の研修とかやってるとこあるんだよ。。。 #phpcon2015_1

suzuki @suzuki

PHPの入門書にはSQLインジェクションがないのは当たり前になった #phpcon2015 #phpcon2015_1

にっしー @nissy0409240

PHP入門書にはSQLインジェクション脆弱性がないことが当たり前になった #phpcon2015_1

Akira Murata @Subaru365

プレースホルダを使うとSQLインジェクションはおきない。 #phpcon2015

Masayuki Ishikawa @M_Ishikawa

でかい #phpcon2015 pic.twitter.com/RU8tE4lOXr

拡大

聖やきょう @yakyou

徳丸先生 #phpcon2015 pic.twitter.com/EQkAnLeAmY

拡大

たけ @ww24

最近の PHP 入門書はちゃんと PDO のプレースホルダを使っていて、 SQL Injection の脆弱性があるものはほぼ無いらしい #phpcon2015

suzuki @suzuki

最近の本で htmlspecialchars の説明が全くないものがあった #phpcon2015 #phpcon2015_1

Araki3 @akira345

O/Rマッパについて #phpcon2015

みょこ @myokoym

最近の本はPDOでプレースホルダを使うことでSQLインジェクションの脆弱性は なくなった。静的プレースホルダと文字エンコーディングを指定することでより安全になる #phpcon2015_1

Araki3 @akira345

Rails SQL Injection Exsamplesとは？ #phpcon2015

suzuki @suzuki

Rails SQL Injection Example が参考になる #phpcon2015 #phpcon2015_1

Araki3 @akira345

Railsの使い方にまつわる脆弱性のサイト #phpcon2015

suzuki @suzuki

@suzuki このサイトか。 rails-sqli.org #phpcon2015 #phpcon2015_1

suzuki @suzuki

SQLインジェクションって、「SQLi」と表記するのか。 #phpcon2015 #phpcon2015_1