[4883] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」

記事個別表示 (4883)

これは「水無月ばけらのえび日記 : 最近の改竄事件でMicrosoft SQL Serverが狙われる理由」に関連するコメントです。

[4883] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」

徳丸浩(ockeghem) (2008年5月13日 14時9分)

コメントありがとうございます。要するに、複文はMUST要件だが、T-SQLは、より攻撃を容易にするWANT要件だということです。

また、OracleにはPL/SQLがあり、PostgreSQLにはPL/pgSQLがあります。SQL ServerのT-SQLのみが「ストアドプロシージャを記述できるほど高機能」だとは思えません。もっとも、PL/SQLやPL/pgSQLが今回の攻撃の記述ができる・できないまでは検証しておりませんので、これらを検証した上で「SQLインジェクション攻撃には使えない」ということであれば、ぜひご教授ください。Oracleは複文が使えませんので難しいと思いますが、PostgreSQLはできそうに思えます。

これは「水無月ばけらのえび日記 : 最近の改竄事件でMicrosoft SQL Serverが狙われる理由」に関連するコメントです。
全読: [4880]Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」からのスレッド(6件)]
- [4880] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : りゅう (2008年5月9日 17時44分)
  - [4881] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : 徳丸浩(ockeghem) (2008年5月9日 22時49分)
    - [4882] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : りゅう (2008年5月12日 22時35分)
  - [4883] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : 徳丸浩(ockeghem) (2008年5月13日 14時9分)
    - [4885] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : りゅう (2008年5月15日 23時36分)
  - [4897] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」 : 徳丸浩(ockeghem) (2008年5月22日 12時8分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >コメントありがとうございます。要するに、複文はMUST要件だが、T-SQLは、より攻撃を容易にするWANT要件だということです。 >また、OracleにはPL/SQLがあり、PostgreSQLにはPL/pgSQLがあります。SQL ServerのT-SQLのみが「ストアドプロシージャを記述できるほど高機能」だとは思えません。もっとも、PL/SQLやPL/pgSQLが今回の攻撃の記述ができる・できないまでは検証しておりませんので、これらを検証した上で「SQLインジェクション攻撃には使えない」ということであれば、ぜひご教授ください。Oracleは複文が使えませんので難しいと思いますが、PostgreSQLはできそうに思えます。

新生鳩丸掲示板♯

記事個別表示 (4883)

[4883] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」