岡崎市中央図書館システムのSQLインジェクションの可能性

岡崎市中央図書館システムのSQLインジェクションの可能性に関する話題がちょっと出ていたのでまとめてみました。
岡崎市中央図書館 ibrahack
1
トデス子'\ @todesking
like検索に使う文字列内の%をエスケープしてなかっただけで「SQLインジェクション脆弱性があった可能性を示唆しており」とか言っちゃうのはFUDじゃないの、私の知る限りSQLインジェクションはなかったけど http://neta.ywcafe.net/001122.html
Kazuho Oku @kazuho
LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか / librahack事件について、新たなファイナルアンサーが見出されたようです。 http://htn.to/Ck2Uxg
徳丸 浩 @ockeghem
御意 RT @kazuho: LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか / librahack事件について、新たなファイナルアンサーが見出されたようです。 http://htn.to/Ck2Uxg
水無月ばけら @bakera
SQLインジェクションは別の場所にありましたが無関係ですね。RT @ockeghem: 御意 RT @kazuho: LIKE 句の % をエスケープしてなくても「SQLインジェクション脆弱性があった可能性」にはつながらないんじゃまいか http://htn.to/Ck2Uxg
徳丸 浩 @ockeghem
エスケープを「無害化」と説明するのはやめていただきたい。この文脈では、ワイルドカードという「益になる」機能を打ち消すのだから、無害化ではなく無益化というべきでしょう(言わないけど) http://htn.to/Ck2Uxg
Mayuki Sawatari @mayuki
「LIKE句の%をエスケープしていないことからSQLインジェクション脆弱性があった可能性を示唆している」(キリッ → 1.の画像

コメント

ログインして広告を非表示にする
ログインして広告を非表示にする