[B! あとでみる][Security] luccafortのブックマーク

luccafort id:luccafort

あとでみるとSecurityに関するluccafortのブックマーク (2)

書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは？と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。なぜ？と聞くとそういうものだとしか回答がありません。ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
luccafort 2012/12/10
あとで読む。

セキュリティ

SQL

Security

php

MySQL

SQLインジェクション

あとでみる
リンク
コレもヒドいダダ漏れ。サイボウズで会社名と社員名がダダ漏れな件について - それマグで！
あるブログで見かけました。。サイボウズ利用者の皆さんは公開大好きです。サイボウズの旧版を放置している会社の社員情報バレバレです。検索してみよう。次のリンクをクリック→サイボウズログイン名前パスワード filetype:cgi いっぱい出てきた。 (スクリーンショット 2012-03-07 21.17.53) (スクリーンショット 2012-03-07 21.19.03) (スクリーンショット 2012-03-07 21.19.48) 「◯◯部の◯◯さんお願いします」って言えば簡単にテレアポ営業出来るんじゃないですかね。ってかかれてたけど、全くそのとおりだと思いました。テレアポさん頑張って。情報って怖いです、Googleさん怖いです。あわせてオススメ、Desknets (スクリーンショット 2012-03-07 21.18.17) desknets グループ氏名 file
luccafort 2012/03/09
こういうのでプルダウン式なのはあんまり好ましくないよなー。個人的にはID/Pass直接入れさせろって思うんだけど。つーか社員数増えるとプルダウン式うざくない？

セキュリティ

あとでみる

組織

security
リンク
1