not found
つい先日まで人手不足なこともあって、派遣さんに来ていただいていたときのお話です。送られてきたスキルシートには、「○MySQL」「○PHP」という感じでまぁソシャゲをまわす分にはうちのやり方を多少レクチャーすれば大丈夫かなと思い面談。面談中も、「ゲームが好きです」「バハムートはかなりやりこんでました」「ターミナルも多少はたたけます」という感じでこれならOKかと思い採用して出社してもらいました。最初は環境設定やサービスを利用してもらって理解を深めてもらっていたのですが、過去のイベントの側替えをちょうどいいタイミングで始まることにしたので、必要なテーブルのコピーやアイテム登録をお願いしたところ、PHPMyAdminを使っても、登録はミスるは、他のマスターデータを上書きしてレコードを消すは、100件近いデータのフラグミスがあったので、「0から1に全レコード変更しておいて」ってお願いしたら、PHPM
書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さくらインターネット創業日記
