アカウント名:
パスワード:
null で空文字列を意味するというのは、そのまんま加工せずにパラメータとして入れ込んでしまっているのではないか? こっちはインジェクション・アタックとか大丈夫なんかいな?
長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
物理学の'tHooft先生も、ご自身の名を冠された小惑星について、アポストロフィを削られているから、この小惑星上ではアポストロフィを禁止する、と怒っておられたなあ。
#ハイフン記号とかも名前として入力できないシステムもある。
>長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
むかしむかし、アイテーギョー界にウェブアプリなんぞ無かった時代のことじゃ。その頃キギョーは各々の城郭(シャナイネット)に閉じ篭り、インターネッツからの脅威など知らぬわりと平和な時代であった。
そんな時代のあるところに、入力項目に ' が入るとコケてしまうシステムがあったのじゃ。まあアカシックレコードの秘術(SQL)に触れた者にはご察しのよくある災厄(バグ)であった。
で、当時の神々(ジョーキュー=エスイー神)が持てる英知を振り絞られ、サイコーにエレガントな解決策をお考えになられた。
そう、' は禁止文字となったのじゃ。
下々の者たち(シ=タウケ=エスイー神とその配下のプ=ログラマ族)の中には、「いや、エスケープすればいいんじゃね?」と上級の神々に異を唱える者たちがいた。しかし、上級の神々が知らぬアカシックレコードの秘術を知る彼らは、上級の神々の逆鱗に触れことごとく炎上案件に放り込まれ焼き尽くされた。
残った下々の者たちは、ちまちまと入力画面に ' をチェックするコードを書き込むか、最高神(コキャク神)に「どうか ' は入力しないでください」と祈る巡礼の旅に出る事を強いられたのじゃ。
それとは別に、, の入力が禁止されたシステムもあったのじゃが(シー=エスブ=イーの魔物が暴れるそれはそれは恐ろしい伝説)、その話はまたの機会にな。
> それとは別に、, の入力が禁止されたシステムもあったのじゃが
「,」の入力を防止するために「ね」キーの使用をも禁止し、それでは「ね」の入力が不可能になると訴えた日本語かな入力宗派を弾圧し、ローマ字入力への改宗が通告されたと云うシステムですね。ええ知っています。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
SQLインジェクションアタックの対象になりかねない (スコア:5, 参考になる)
null で空文字列を意味するというのは、そのまんま加工せずにパラメータとして入れ込んでしまっているのではないか? こっちはインジェクション・アタックとか大丈夫なんかいな?
長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
物理学の'tHooft先生も、ご自身の名を冠された小惑星について、アポストロフィを削られているから、この小惑星上ではアポストロフィを禁止する、と怒っておられたなあ。
#ハイフン記号とかも名前として入力できないシステムもある。
Re:SQLインジェクションアタックの対象になりかねない (スコア:5, おもしろおかしい)
>長すぎる方をよく見てみると、名前の途中にアポストロフィが入ってるし。ど初級のSQLインジェクションアタックで最初に試みるのがアポストロフィとか \ エスケープとかだから、たぶん対処はされているんだと信じるが…
むかしむかし、アイテーギョー界にウェブアプリなんぞ無かった時代のことじゃ。
その頃キギョーは各々の城郭(シャナイネット)に閉じ篭り、インターネッツからの脅威など知らぬわりと平和な時代であった。
そんな時代のあるところに、入力項目に ' が入るとコケてしまうシステムがあったのじゃ。
まあアカシックレコードの秘術(SQL)に触れた者にはご察しのよくある災厄(バグ)であった。
で、当時の神々(ジョーキュー=エスイー神)が持てる英知を振り絞られ、サイコーにエレガントな解決策をお考えになられた。
そう、' は禁止文字となったのじゃ。
下々の者たち(シ=タウケ=エスイー神とその配下のプ=ログラマ族)の中には、「いや、エスケープすればいいんじゃね?」と上級の神々に異を唱える者たちがいた。
しかし、上級の神々が知らぬアカシックレコードの秘術を知る彼らは、上級の神々の逆鱗に触れことごとく炎上案件に放り込まれ焼き尽くされた。
残った下々の者たちは、ちまちまと入力画面に ' をチェックするコードを書き込むか、最高神(コキャク神)に「どうか ' は入力しないでください」と祈る巡礼の旅に出る事を強いられたのじゃ。
それとは別に、, の入力が禁止されたシステムもあったのじゃが(シー=エスブ=イーの魔物が暴れるそれはそれは恐ろしい伝説)、その話はまたの機会にな。
Re:SQLインジェクションアタックの対象になりかねない (スコア:3, 興味深い)
> それとは別に、, の入力が禁止されたシステムもあったのじゃが
「,」の入力を防止するために「ね」キーの使用をも禁止し、
それでは「ね」の入力が不可能になると訴えた日本語かな入力宗派を弾圧し、
ローマ字入力への改宗が通告されたと云うシステムですね。
ええ知っています。