2008年12月26日(金曜日)
U+00A5でSQLインジェクション
公開: 2024年4月24日16時55分頃
「JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 (www.tokumaru.org)」。
U+00A5の「¥」が Shift_JIS に変換されるときなどに 0x5c に変換されてしまうことがあり、エスケープを突破されることがあるというお話。
Prepared Statementでも駄目というのが興味深いですが、「useServerPrepStmtsを使うのが根本解決だとはおもう。けど…? (www.geminium.com)」によると、設定をしないとサーバ側で処理するPrepared Statementは使われないという話のようですね。
- 「U+00A5でSQLインジェクション」へのコメント (2件)
関連する話題: セキュリティ / SQLインジェクション
靖国神社の改竄話つづき
公開: 2024年4月24日16時0分頃
靖国神社の改竄話のつづき。
「靖国神社の公式サイト不正アクセス - ハニーポッターの部屋 (d.hatena.ne.jp)」によると……。
・問合せ窓口発見→あやしい(経験知)
・リンクをたどった→PHPじゃん。これじゃね?←いまここ
PHP! なんと、いつのまにかPHPにリプレースされていましたか。昔、私がSQLインジェクションを届け出たときはASPだったので、その後システムをリプレースしているのですね。
ということは、私の届け出たものとは全く関係ないということでファイナルアンサーぽいですね。
※べつに喜べませんが。
関連する話題: セキュリティ / SQLインジェクション / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2008年12月25日(Thursday)のえび日記
- 次(新しい): 2008年12月28日(Sunday)のえび日記
