アカウント名:
パスワード:
null で空文字列を意味するというのは、そのまんま加工せずにパラメータとして入れ込んでしまっているのではないか? こっちはインジェクション・アタックとか大丈夫なんかいな?
長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
物理学の'tHooft先生も、ご自身の名を冠された小惑星について、アポストロフィを削られているから、この小惑星上ではアポストロフィを禁止する、と怒っておられたなあ。
#ハイフン記号とかも名前として入力できないシステムもある。
>長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
むかしむかし、アイテーギョー界にウェブアプリなんぞ無かった時代のことじゃ。その頃キギョーは各々の城郭(シャナイネット)に閉じ篭り、インターネッツからの脅威など知らぬわりと平和な時代であった。
そんな時代のあるところに、入力項目に ' が入るとコケてしまうシステムがあったのじゃ。まあアカシックレコードの秘術(SQL)に触れた者にはご察しのよくある災厄
> それとは別に、, の入力が禁止されたシステムもあったのじゃが
「,」の入力を防止するために「ね」キーの使用をも禁止し、それでは「ね」の入力が不可能になると訴えた日本語かな入力宗派を弾圧し、ローマ字入力への改宗が通告されたと云うシステムですね。ええ知っています。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
SQLインジェクションアタックの対象になりかねない (スコア:5, 参考になる)
null で空文字列を意味するというのは、そのまんま加工せずにパラメータとして入れ込んでしまっているのではないか? こっちはインジェクション・アタックとか大丈夫なんかいな?
長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
物理学の'tHooft先生も、ご自身の名を冠された小惑星について、アポストロフィを削られているから、この小惑星上ではアポストロフィを禁止する、と怒っておられたなあ。
#ハイフン記号とかも名前として入力できないシステムもある。
Re: (スコア:5, おもしろおかしい)
>長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
むかしむかし、アイテーギョー界にウェブアプリなんぞ無かった時代のことじゃ。
その頃キギョーは各々の城郭(シャナイネット)に閉じ篭り、インターネッツからの脅威など知らぬわりと平和な時代であった。
そんな時代のあるところに、入力項目に ' が入るとコケてしまうシステムがあったのじゃ。
まあアカシックレコードの秘術(SQL)に触れた者にはご察しのよくある災厄
Re:SQLインジェクションアタックの対象になりかねない (スコア:3, 興味深い)
> それとは別に、, の入力が禁止されたシステムもあったのじゃが
「,」の入力を防止するために「ね」キーの使用をも禁止し、
それでは「ね」の入力が不可能になると訴えた日本語かな入力宗派を弾圧し、
ローマ字入力への改宗が通告されたと云うシステムですね。
ええ知っています。