Page: 1 メールの暗号化 とみたまさひろ NSEG #40 2013/06/08 メールの暗号化 Powered by Rabbit 2.0.9 Page: 2 自己紹介 とみた まさひろ プログラマー (Ruby & C) http://d.hatena.ne.jp/tmtms http://twitter.com/tmtms 好きなもの Ruby, MySQL, Linux Mint, Emacs, Git メールの暗号化 Powered by Rabbit 2.0.9
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
HTML5とかJavaScriptがもてはやされてるけどやっぱPHPだよねっ。一人でWEBサービス作れちゃう人とかカッコイイィィィィ。デザインはTwitter Bootstrapでィィし、やっぱサーバーサイド出来る人が輝いてるぅウィリリリリリ。 みたいな会話が各地で聞こえてくる昨今ですが、PHPはまだまだ現役で活躍していく言語だと思います。Facebookも今のところPHPで作られていますし、何よりもみんな大好きWordPressをカスタマイズするための基礎知識としてPHPを知っておくに越したことはありません。 PHPの本もとても多いですね。SmartyがいいとかPEARを使えとか新旧色々な情報が混在しています。ざっくり知りたい人向けから、フレームワーク解説の良書やしっかりしたセキュリティの本までピックアップしてみます。 とにかくとりあえずどんなもんか知りたい 自分はプログラマになる気はな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く