Club MySQL #5 ～SQLデータベースのセキュリティ

とみたまさひろ🍣🍺 @tmtms

Jack も出たw #mysql_jp

yoku0825 @yoku0825

わるいなぁ！ #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

DavidとJack 大活躍ｗ　今後のDBセキュリティを語る際のデフォルトになるか？ｗ #mysql_jp

yoku0825 @yoku0825

ハードディスク、確かに備品倉庫から1個2個なくなってても気が付かない気がする… #mysql_jp

央 @sogaoh

わるいひとばっかりだ・・・ #mysql_jp

yoku0825 @yoku0825

「SQLインジェクションに関する誤解」 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

@yoku0825 でも、動いているHDD盗んだらばれると思うんだ。DavidとJackよ。 #mysql_jp

へっぽこ＠憑かれました @guin_y

DavidとJackはデータ盗む奴の代名詞になってるのかね…(笑) #mysql_jp

yoku0825 @yoku0825

「間違ってはいないけどそれだけじゃない」 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

やっぱりデリミタを変えたり PLEASE を必須にしたりする対策は結構強力だと思う。 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

（なんか話とスライドが合ってないなぁと思っていたRあ、画面切り替えたりしているうちにいつのまにかZoom音声＋YouTube画面を見ていたｗ） #mysql_jp

yoku0825 @yoku0825

引用元ここっぽい 安全なSQLの呼び出し方 ipa.go.jp/files/00001732… #mysql_jp

央 @sogaoh

リテラル = 即値 #mysql_jp

yoku0825 @yoku0825

にぎやかしLTでした #mysql_jp DavidとJackとMySQLのセキュリティと - Speaker Deck speakerdeck.com/yoku0825/david…

yoku0825 @yoku0825

そういえば昔、「1行中にセミコロンで複数文を書けないようにすれば良いのでは」とか思ってソースコードあさったことを思い出した #mysql_jp

yoku0825 @yoku0825

「たとえば途中でデフォルトが変わる」「データベースサーバーにお伺いを立ててみないと安全なエスケープの方法が決まらない」 #mysql_jp

hmatsu47(まつ) @hmatsu47

IN句だとまだやらかしがちかもしれない（想像）。 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

そういや先日、速度改善の調査をしていたら、ループの中で prepare していてガクっとしたことがあったなぁ（書いたのは数年前の私） #mysql_jp

ごはん @k_akie7

プレースホルダの動的・静的をちゃんと分かってなかった… #mysql_jp

tkyk04 @taka_yuki_04

参加開始！（いつまでいられるか） 徳丸先生のお話だ！ #mysql_jp

hmatsu47(まつ) @hmatsu47

MySQLのサーバサイドのやつは度々罠が仕掛けられるので…。 #mysql_jp

とみたまさひろ🍣🍺 @tmtms

MySQL のプリペアドステートメントは 4.1 からか。結構新しかった。 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

うん。「文字列連結によるSQLの組み立て」は、もはや「ナシ」ですよね！！ #mysql_jp

ごはん @k_akie7

MySQLだと動的プレースホルダが標準 #mysql_jp

坂井 恵(SAKAI Kei) @sakaik

@tmtms 8.0の半分以上ですもんね。 #mysql_jp