[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:6900] Re: 「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:6900] Re: 「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
- From: Tomoki Sanaki <sanaki@xxxxxxxxxxxx>
- Date: Sun, 04 Jan 2004 17:07:34 +0900
佐名木という者です。
Kazuo Tanabe wrote on 2004-1/4(日) 11:35:56
> 以前、いまだに多いと思われるSQLインジェクションの危険性を
>日経システム構築に記事にしてもらったのですが、わたしの住んで
>いる福井の公的なサイトのほとんどでSQLインジェクションの危険性
>がありました。といっても、納めたところがいっしょだったという
>オチなのですが、県内でも大手の会社でもそういった知識がなく、
>ひどいところではエラーでSQL文を表示するところもあったりでした。
多いですね〜。
SQLインジェクションの危険性を訴える記事の多くが、マルチプル・ステートメントを用いて、
DB Server 上でコマンド実行とかしてしまっているのが問題なのかも知れませんが、
SQL インジェクション=コマンド実行と捉えている SE の方も少なくようで....
「Oracle ならマルチプル・ステートメント機能がサポートされていないので大丈夫」と
思っている SE の方も少なくないようです。
問題の本質を捉えていただきたいのですが....書き手としては難しさを感じます。m(_ _)m
> SQL Serverでは管理者権限でアクセスするように書いてある参考書
>も多いとか。そのあたりからの問題なのかななんても思います。
納期直前で動かなくなって、とりあえず DB 管理者にしたら動いたので、そのまま納品。
って話も聞いた事があります。
以上、よろしくお願いします
-----------------------------------------------------
佐名木 智貴(Tomoki Sanaki)
E-mail=active@xxxxxxxxxxxxxxxxxx
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6
--[PR]------------------------------------------------------------------
◆「ayupan」「 Every Little Thing」の画期的メーラー登場!◆
IncrediMail WOW!のプレミアム版として
エイベックスの大人気アーティストのメーラーが登場!
↓↓今すぐGET!↓↓
http://ad.freeml.com/cgi-bin/ad.cgi?id=czwvQ
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp