投稿順表示 (51/282)
前のページ 1...46/47/48/49/50/51/52/53/54/55/56...282 次のページ
[4902] Re: 「かな入力の弱点」
Niimi (2008年6月4日 7時47分)
まぁJISかな入力は「JIS X 0201」のかな文字を入力するための物らしいですので、「ゎ」「ゐ」「ゑ」は入力できなくて当然らしいです。(というか「ゐ」「ゑ」が入力できないのは問題では無いのか?)
# ローマ字入力なら「Shift+wa」で「ゎ」になるのにねぇ…… と言ってみるテスト。
[4898] Re: 「かな入力の弱点」
ZO (2008年6月3日 21時32分)
WinXPのMSIME2002(8.1)では、「わ」を出してから漢字変換の要領でスペース(変換)を押していったら 18/19 に「ゎ」がありました。
[4897] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」
徳丸浩(ockeghem) (2008年5月22日 12時8分)
りゅうさん、詳しいコメントをありがとうございます。間があいて申し訳ありません。SQL Serverが狙われやすい理由として、補強材料ができたように思います。
最後のパラグラフについてですが、
>ちなみに複文をMUST要件としているのはUPDATE文のインジェクションの要件としてということになると思いますが(テーブル構造の取得ではMUSTではないので)、複文を使えないシステムでは情報更新系のインジェクションはできないということになるのでしょうか。
私が調べた範囲ではできないか、少なくとも非常に制約があると思います。
また、ご指摘のように、情報漏えい系に関しては、複文はMUSTではありません。
[4896] Re: 「くりきんは危険かも」
ファム (2008年5月19日 9時19分)
しょうへいさんへ
ID70のヘキサリアンズは、ヘキサリア×ヘキサリアでうまれますよ。
他にどんなゲームを持ってますか?
[4885] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」
りゅう (2008年5月15日 23時36分)
SQLは手続き型言語ではないので、大抵のDBMSではストアドプロシージャを定義するための手続き型言語が別途用意されています。それがPL/SQLやPL/pgSQLなどです。それらはストアドプロシージャを定義するためのものなので、ストアドプロシージャの定義以外の部分では使用できません。問い合わせに使用しているのはあくまでもSQLであって、PL/SQLやPL/pgSQLなどの手続き型言語ではないのです。
Transact-SQLではその2つを区別していないというか、問い合わせもストアドプロシージャの定義も、同じTransact-SQLを使って行います。したがって、ストアドプロシージャとして定義する必要があるような手続き的な処理も、単なる問い合わせとして実行できます。
Transact-SQLのインジェクションはもはや任意のプログラムのインジェクションに近いものであり、普通のSQLインジェクションとは異なるものと思った方が良いのかもしれません。
ちなみに複文をMUST要件としているのはUPDATE文のインジェクションの要件としてということになると思いますが(テーブル構造の取得ではMUSTではないので)、複文を使えないシステムでは情報更新系のインジェクションはできないということになるのでしょうか。
[4883] Re: 「最近の改竄事件でMicrosoft SQL Serverが狙われる理由」
徳丸浩(ockeghem) (2008年5月13日 14時9分)
コメントありがとうございます。要するに、複文はMUST要件だが、T-SQLは、より攻撃を容易にするWANT要件だということです。
また、OracleにはPL/SQLがあり、PostgreSQLにはPL/pgSQLがあります。SQL ServerのT-SQLのみが「ストアドプロシージャを記述できるほど高機能」だとは思えません。もっとも、PL/SQLやPL/pgSQLが今回の攻撃の記述ができる・できないまでは検証しておりませんので、これらを検証した上で「SQLインジェクション攻撃には使えない」ということであれば、ぜひご教授ください。Oracleは複文が使えませんので難しいと思いますが、PostgreSQLはできそうに思えます。
