水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: SQLインジェクション対策再考

WASForum Conference 2008: SQLインジェクション対策再考

2008年7月5日(土曜日)

WASForum Conference 2008: SQLインジェクション対策再考

2日目、「EV SSL の意義と課題」に引き続いての2発目は、徳丸さんによる「SQLインジェクション対策再考」。資料が公開されている (www.hash-c.co.jp)ので、私のメモとか必要ないですね。

若干補足すると、資料のp5~p6あたりの「セミコロン削除」「SQL構文に用いるような文字列はユーザーの入力としてはありえない」という部分ですが、ブログの記事を DB に格納するときにどうするのか、という話が出ていました。プログラムの話題を書いたときにセミコロンが全部消えてしまったら困りますから、セミコロンだろうとSQL構文だろうと、きちんと格納しなければならないのです。

質問として、「過剰エスケープはどうなのか」という話が出ましたが……。「セキュリティ的にはたぶん問題ないが、\が2重に表示される」。まあ、ぶっちゃけて言えばバグですね。実際、この手のバグはけっこうあちこちにあると思います。

私の感想

「ライオン・エスケープ」ですが、楽天テクノロジーカンファレンス2007「Web開発者のための最新セキュリティ動向」で出てきた「安心クッキー」のリスペクトですね。しかし、今回の話の流れの中で出すのであれば、カカクコムで探した方が良かったのではないかと思いました。

※サウンドハウスでも良いのですが、「エスケープ」で検索しても何もヒットしなかったのです。カカクコムにはいろいろありそうです。

※「感想ってそこだけかよ!!」とつっこまれそうですが、笑いのネタは気になるので。

携帯電話向けWebのセキュリティ」に続きます。

関連する話題: セキュリティ / SQLインジェクション / WASForum Conference

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト