水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 書籍の脆弱性: はじめてのPHPプログラミング基本編 5.3対応

書籍の脆弱性: はじめてのPHPプログラミング基本編 5.3対応

2008年10月29日(水曜日)

書籍の脆弱性: はじめてのPHPプログラミング基本編 5.3対応

徳丸さんによる書籍の脆弱性シリーズ第二弾、書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 (www.tokumaru.org)

汎用的なsqlエスケープ関数を用意して、対策をこの関数にカプセル化しようという心意気はよかったのだが、あいにくこの関数にバグがあって、意図がかえって仇となる結果となった。

はじめてのPHPプログラミング基本編 5.3対応 (www.amazon.co.jp)」に書かれているdbescapeという関数の実装にバグがあり、複数の引数を受け取るとSQLインジェクションが可能になるというお話。SQLインジェクションの対策として紹介されている実装が脆弱ということで、本の通りにまじめに作ると脆弱になってしまいます。これはかなりマズイかもしれません。

著者のサイトではさっそく正誤表が出ていますね……「はじめてのPHPプログラミング 基本編―5.3対応 (TECHNICAL MASTER 54) (www.doyouphp.jp)」。

関連する話題: PHP / セキュリティ / 書籍の脆弱性 / SQLインジェクション

最近の日記

関わった本など