はてなブックマーク>テクノロジー>とある診断員とSQLインジェクション

  • 人気コメント (10)
  • 新着コメント
  • すべてのブックマーク

  • bienbienbienbien bienbienbienbien 本番環境で脆弱性診断させるお客が一番の脆弱性というお話 2014/05/26
  • migrant777 migrant777 「そんなもんねえから本番でやって」←少なからず責任はこいつにある。 2014/05/26
  • JULY JULY 暗黙の型変換は怖いんだけど、開発者がそれを期待する風潮があって、「これだけのことで、明示的に CAST かよ」みたいな事を思っている人が結構いそうな気が....。 2014/05/26
  • deep_one deep_one 個人的には、シリアスなプログラミングと暗黙の変換は相容れないと思う。 2014/05/26
  • stealthinu stealthinu SQLインジェクションでmysqlの暗黙の型変換により「文字列+文字列」の結果が0になりされにそれが文字列として比較されて全件マッチし全件を予期せぬupdate掛けてしまう、という事例。こわい… 2014/05/26
  • fukken fukken 暗黙の型変換怖いなぁ。そしてなんというか、サイトを自作するなら「本物のプログラマ」を一人くらい入れろ 2014/05/26
  • jgoamakf jgoamakf 暗黙の型変換は危険という理屈も、処理系で適当に変換して欲しいという気持ちも分かる。それはそれとして、最初からテスト環境は用意した方が良いですね。特に今回は「不正な処理を起こさせてみる」テストな訳だし。 2014/05/26
  • hamaco hamaco これは…… こんなん脆弱性チェックする側も大変やなぁ。 2014/05/26
  • mohno mohno 壊しちゃいけない環境でテストとか、ちょっと何言ってるのかわかんないんだけど。あとユーザー入力ってパラメータで渡さないの?「暗黙の型変換は怖い」という話じゃないような気がするんだけど。 2014/05/26
  • Jxck Jxck これ、診断員さんにお願いするクオリティまで達してないだろ。。 2014/05/26
  • lotus_rs lotus_rs こわい 2014/05/26
  • camellow camellow おれの知る会社の話かと思ってドキッとしたが違うみたいでよかった 2014/05/26
  • YaSuYuKi YaSuYuKi 穴に予期しない鍵がはまった結果扉の奥がミンチになったでござるという感じ 2014/05/26
  • fujitsuka fujitsuka この夏の怪談話にとっておこう 2014/05/26
  • typex2 typex2 # |ω・)…… ちゅうにゅっ! 2014/05/26
  • pochi-mk pochi-mk なかなか闇が深い 2014/05/26
  • kana321 kana321 5/23に開催したssmjpでLTした資料です。一部内容の追記をしています 2014/05/26
  • sakamata sakamata はじめてのMySQL読んで、はじめてのアプリ作ってる俺にとっては下手な小説より面白いし為になった。"+"記号怖い! 2014/05/26
  • oropon oropon IT怪談 2014/05/26
  • zentarou zentarou 型変換には魔物が潜む 2014/05/26
  • MagnesiumRibbon MagnesiumRibbon クソとクソの悪魔合体だ 2014/05/26
  • miyamae miyamae きちんと作った上で診断受けないとあまり意味ない。 >> とある診断員とSQLインジェクション 2014/05/26
  • shinagaki shinagaki 胃が痛くなる 2014/05/26
  • haruten haruten これ詳細な原因の追及まで診断員さんの仕事なの?テストしてもらって未知のバグを出してもらったんだから、詳細な調査から以降はシステム屋の仕事じゃないの 2014/05/26
  • ww_zero ww_zero これはシングルクォートが正しくエスケープされていないだけであって、暗黙の型変換とか言う以前の話。変数の値をSQL文にセットする際にはその中身に関係なく常にエスケープするという原則を守れば起こらない問題 2014/05/26
  • at_yasu at_yasu ほー…てか、検証するときはダミーサーバを用意しないと… 2014/05/26
  • naokun776 naokun776 本番でやってという一言が一番恐ろしい 2014/05/26
  • kumonopanya kumonopanya 安全なSQLの呼び出し方 http://www.ipa.go.jp/files/000017320.pdf 2014/05/26
  • mikage014 mikage014 元がこれだと指摘してもちゃんと直るのか不安w ピンポイントで蓋をして他の穴が残ってたりして。 2014/05/26
  • noonworks noonworks MySQLの暗黙の型変換の問題ではなくプレースホルダを使わないことの問題と本番環境でテストしたことの問題だと思う 2014/05/26
  • iori_t iori_t ・・・お粗末。/っつか本番環境でテストとか凄すぎ。/しかしまぁ、これの公開目的が・・・なんなんじゃろ?/とある画像の著作権侵害(インフリンジメント) と揚げ足をとってみる。 2014/05/26
  • tripleshot tripleshot こわい 2014/05/26
  • iww iww 暗黙の型変換のこわさ 2014/05/26
  • bienbienbienbien bienbienbienbien 本番環境で脆弱性診断させるお客が一番の脆弱性というお話 2014/05/26
  • jgoamakf jgoamakf 暗黙の型変換は危険という理屈も、処理系で適当に変換して欲しいという気持ちも分かる。それはそれとして、最初からテスト環境は用意した方が良いですね。特に今回は「不正な処理を起こさせてみる」テストな訳だし。 2014/05/26
  • u-north u-north それを実機でやるのかよ! 2014/05/26
  • mohno mohno 壊しちゃいけない環境でテストとか、ちょっと何言ってるのかわかんないんだけど。あとユーザー入力ってパラメータで渡さないの?「暗黙の型変換は怖い」という話じゃないような気がするんだけど。 2014/05/26
  • asa_ca3 asa_ca3 和と論理和 暗黙型変換 2014/05/26
  • migrant777 migrant777 「そんなもんねえから本番でやって」←少なからず責任はこいつにある。 2014/05/26
  • app2641 app2641 型変換期待してキャストしてないわ 2014/05/26
▼ ブログで紹介する
最終更新: 2014/05/26 08:53

このブックマーク一覧を非公開にするには?

ユーザーはみんなでブックマークを共有して、効率良く情報収集しています。あなたもはてなブックマークを始めてみませんか?

おすすめカテゴリ - プログラミング

新着エントリー - テクノロジー

関連商品