岡崎市中央図書館システムのSQLインジェクションの可能性

トデス子'\ @todesking

like検索に使う文字列内の％をエスケープしてなかっただけで「SQLインジェクション脆弱性があった可能性を示唆しており」とか言っちゃうのはFUDじゃないの、私の知る限りSQLインジェクションはなかったけど http://neta.ywcafe.net/001122.html

Kazuho Oku @kazuho

LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか / librahack事件について、新たなファイナルアンサーが見出されたようです。 http://htn.to/Ck2Uxg

徳丸 浩 @ockeghem

御意 RT @kazuho: LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか / librahack事件について、新たなファイナルアンサーが見出されたようです。 http://htn.to/Ck2Uxg

水無月ばけら @bakera

SQLインジェクションは別の場所にありましたが無関係ですね。RT @ockeghem: 御意 RT @kazuho: LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか http://htn.to/Ck2Uxg

徳丸 浩 @ockeghem

エスケープを「無害化」と説明するのはやめていただきたい。この文脈では、ワイルドカードという「益になる」機能を打ち消すのだから、無害化ではなく無益化というべきでしょう（言わないけど） http://htn.to/Ck2Uxg

Mayuki Sawatari @mayuki

「LIKE句の%をエスケープしていないことからSQLインジェクション脆弱性があった可能性を示唆している」(キリッ → 1.の画像