なぜPHPアプリにセキュリティホールが多いのか? 「第42回 PostgreSQL 9.0に見るSQLインジェクション対策」のまとめ
なぜPHPアプリにセキュリティホールが多いのか?「第42回 PostgreSQL 9.0に見るSQLインジェクション対策」by @yohgaki 公開 http://bit.ly/iY4pED
2011-05-19 11:15:06公開されたようです RT @gihyojp: なぜPHPアプリにセキュリティホールが多いのか?「第42回 PostgreSQL 9.0に見るSQLインジェクション対策」by @yohgaki 公開 http://bit.ly/iY4pED
2011-05-19 11:17:28@ymzkei5 ちょwww。技評さんって、紙の本は良いものを出すのに、ネットはどーして野放しなんですかねー…とつぶやいてみるテスト
2011-05-19 12:55:04「プリペアードクエリさえ利用していれば大丈夫」でないのと同様「エスケープすれば大丈夫」でもない。それより、DBの提供するライブラリでエスケープすべき理由を説明すれば良い記事になったのに / なぜPHPアプリにセキュリティホールが多いのか… http://htn.to/5NS6VS
2011-05-19 18:26:07「DBの提供するライブラリでエスケープすべき理由」は、エスケープ対象の文字や方法が、DBの種類や設定で変わるからです RT @ockeghem … http://htn.to/5NS6VS
2011-05-19 18:33:49本当だ。このSQLはおかしい。だからあれほどテストしろと→ SELECT * FROM mytable WHERE tag = 'mytag' ORDER BY DESC / なぜPHPアプリにセキュリティホールが多いのか?:第42回… http://htn.to/5NS6VS
2011-05-20 09:37:04この記事今一何が言いたいのかわからんな http://gihyo.jp/dev/serial/01/php-security/0042 それだけPostgreSQL9.0がいいってこと?
2011-05-20 10:25:04SQLの命令部分に外部から受け取ったデータをそのまま使うという設計自体が問題だろう。それに、そのようにしなければ出来ないアプリなんてほとんどないと思うけど
2011-05-20 10:28:52この記事の問題は使用するものによってエスケープかバリデーションか判断を迫っていること。ASCはバリデーション、フィールド名はエスケープしろとかこういうのがミスを生んで脆弱性を混入させる原因だと思う
2011-05-20 10:39:35PQescapeIdentifier の検索結果が異常に少ないように思うのですが、これほとんど使われていないということなのでしょうか?
2011-05-20 10:41:45フィールド名なんて任意の文字列を使用しなきゃいけないというアプリが数多くあると思わない。使用できるフィールド名かどうか(存在するフィールド名のうちのどれかに合致するか)を確認するバリデーションで十分だろう
2011-05-20 10:42:25そもそも需要がないということでは?w RT: @bakera: PQescapeIdentifier の検索結果が異常に少ないように思うのですが、これほとんど使われていないということなのでしょうか?
2011-05-20 10:46:47HiddenにSQL文を丸ごと入れて、実行しているようなアプリケーションでw(それも無理 RT: @ockeghem: @bakera 使用シーンを思いつきませんね>PQescapeIdentifier
2011-05-20 10:49:33@ockeghem @ikepyon なるほど。大垣さんの記事ではかなり肯定的に紹介されているようなのに、調べようと思ったらあまりにも結果が少ないのでちょっと驚いたのでした。
2011-05-20 10:50:48(@bakera)@ockeghem @ikepyon なるほど。大垣さんの記事ではかなり肯定的に紹介されているようなのに、調べようと思ったらあまりにも結果が少ないのでちょっと驚いたのでした。
2011-05-20 10:51:25真当な使い方だとパーテションイングしているテーブルとかかな RT @ikepyon: HiddenにSQL文を丸ごと入れて、実行しているようなアプリケーションでw(それも無理 RT: @ockeghem: @bakera PQescapeIdentifier
2011-05-20 10:54:30二重になってますね。強調する用例としては良くあるのかな。そこまで考えて書いてないけど。ところで識別子のエスケープの件はさっきの解説で十分でしたかRT @ockeghem 「完全に撲滅」という言葉使いを見かけたので念のためググったら結構用例がありますね。でも僕は使わないようにしよう
2011-05-20 12:01:09