投稿順表示 (210/282)
前のページ 1...205/206/207/208/209/210/211/212/213/214/215...282 次のページ
[1465] Re: えび日記 : 「SQLコマンドインジェクション自爆」
ばけら (2004年1月9日 13時44分)
うーん、しかし真性の SQL サーバではなくて、XML から読んだデータをメモリ上で DataTable に格納してるだけなんですよね。
で、DataTable の Select メソッドには string しか渡せないですし、バインドっぽいものがなさそうな感じなのですが……。
[1464] Re: えび日記 : 「SQLコマンドインジェクション自爆」
えむけい (2004年1月9日 12時21分)
>ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html
スターダストさん【誰】もベタほめのIPAのサイトにも「バインドを使え」と思いっきり書かれてますね。
[1463] Re: えび日記 : 「SQLコマンドインジェクション自爆」
えむけい (2004年1月9日 12時10分)
ようするに【謎】HTMLの「DOMを使う」に相当する解決策があることを分かればよろしい【謎】。
[1462] Re: えび日記 : 「SQLコマンドインジェクション自爆」
asa (2004年1月9日 10時15分)
>Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"
>
>Dim cmd As SqlCommand = New SqlCommand(selectString, conn)
>cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID
>
上記のようなparameterで私は回避してます。シングルコーテーションがそのまま登録できるのでINSERTなどはさらに楽です。
[1461] Re: えび日記 : 「SQLコマンドインジェクション自爆」
y-Aki (2004年1月9日 9時17分)
JavaでいうPreparedStatementみたいなのはないんですかねぇ。
http://msdn.microsoft.com/library/default.asp?
url=/library/en-us/cpguide/html/cpconsecureadonetcodingguidelines.asp
より
Dim selectString As String = "SELECT * FROM Customers WHERE CustomerID = @CustomerID"
Dim cmd As SqlCommand = New SqlCommand(selectString, conn)
cmd.Parameters.Add("@CustomerID", SqlDbType.VarChar, 5).Value = custID
VBで、しかも、DataTable使ってませんが…^^;
[1459] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
ばけら (2004年1月7日 12時48分)
>それはそうと(謎)、ヒューガルデン ホワイトに焼肉ってのが敗因だと思いました。魚貝類ですよ、やっぱり(謎)。
そもそも「ヒューガルデン ホワイト」って何? という状態でしたので。
とりあえず経験値が増えたので OK。
[1458] Re: えび日記 : 「朝日新聞一面トップ」
ばけら (2004年1月7日 12時12分)
>office さん(誰)のハンドルは case sensitive なはず(謎)。
おお。
http://02.teacup.com/office/bbs
の title などは Capitalize されているのでそれにならったのですが、改めてご本人のメールの署名など見ると lower case が正しいっぽいですね。訂正しておきます。
どうも失礼いたしました。>officeさん
[1457] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
ばけら (2004年1月7日 12時7分)
>何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。
キューに入ってるんですが、キューがいっぱいなもので。
・内部データ構造をいじる
・コメント関係をいじる
の順は逆にすると効率が悪いと思われますし、しばしお待ちくだされ。
[1456] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
いわい (2004年1月7日 3時39分)
>>既にコメントあったらここ(何処)にしか無理ですか。
>
>何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。
プレイ中でしたか(謎)。見守ります(謎)。
[1455] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
えむけい (2004年1月7日 1時47分)
>既にコメントあったらここ(何処)にしか無理ですか。
何とかしてくださいと述べり済み【謎】なのですが放置プレイのようです【謎】。
[1454] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
いわい (2004年1月7日 0時59分)
既にコメントあったらここ(何処)にしか無理ですか。
それはそうと(謎)、ヒューガルデン ホワイトに焼肉ってのが敗因だと思いました。魚貝類ですよ、やっぱり(謎)。
[1451] Re: : Ʋơ
えむけい (2004年1月3日 19時25分)
>UTF-8 しか読めないという……。
>リンクは有効なのであんまり問題ないと言えば問題ないですが。
文字化けしてるにしても元の文字列と比べて短すぎるのが気になります。
もしInvalid Sequenceを単に無視しているのだとしたら「2F 2E (Invalid Sequence) 2E」のような攻撃が成立するわけで。
[1449] Re: : Ʋơ
ݡ (2004年1月3日 4時59分)
[1448] Re: えび日記 : 「続・鳩丸高速化計画その8・コメントインデクス化」
えむけい (2004年1月2日 18時41分)
http://altba.com/bakera/hatomaru.aspx/yomoyama
よもやま話の最終更新日が全部2004年1月2日 17時10分になってます。リンクをたどると正しいっぽい最終更新日が表示されますが。
[1447] Re: えび日記 : 「FPROG非公式忘年会 in たん清」
旧山羊丸 (2004年1月1日 23時20分)
野菜を「禁断の」と言ったのは私じゃなくて、たしかフィンローダさんじゃなかったかと。私は平気で野菜注文しますし。
[1446] Re: えび日記 : 「続・鳩丸高速化計画その8・コメントインデクス化」
ばけら (2004年1月1日 21時24分)
バグというか、ThreadAbortException が……。
とりあえずコメントのテスト。
前のページ 1...205/206/207/208/209/210/211/212/213/214/215...282 次のページ
