サニタイズ
凄ãåå¿œãŒé…ã„ã‘ã©ã€‚
高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..
最近ã®ãƒ—ãƒã‚°ãƒ©ãƒ 入門書ã¯ã€æ–‡å—列解æžæ©Ÿæ§‹ãŒã‚ã‚‹ã¨ã„ã†è€ƒãˆæ–¹ãŒãªã„ã®ã‹ãªã€‚書ã„ã¦ã‚‹äººã‚‚ãã†ã„ã†æ„è˜ãŒã‚ã¾ã‚Šç„¡ã„ã®ã‹ã‚‚ã—ã‚Œãªã„。
ç§ãŒåˆã‚ã¦ãƒ—ãƒã‚°ãƒ©ãƒ を書ã„ãŸã®ã¯Perlã®æŽ²ç¤ºæ¿ã ã£ãŸã‚ˆã†ã«æ€ã†ã€‚(C言語ã®å…¥é–€æ›¸ã¯æ•°åˆ—計算ã¨ã‹ã‚«ãƒ¬ãƒ³ãƒ€ãƒ¼è¡¨ç¤ºã¨ã‹é¢ç™½ããªã„例ã—ã‹ãªã‹ã£ãŸï¼‰
åˆã‚ã«HTTPヘッダを出力ã—ã¦ã€ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’&ã¨=ã§åŒºåˆ‡ã£ã¦å¤‰æ•°ã«å…¥ã‚Œã€å‡ºåŠ›æ™‚ã«ã‚‚ã¾ãŸã¾ãŸæ£è¦è¡¨ç¾ã‚’使ã£ã¦ < ã‚’ < ã«å¤‰æ›ã—ã¦ã„ã£ãŸã‚Šã¨ã‹ã€‚
ãã®ä¸Šã§ä¾‹ãˆã°ãƒ•ã‚©ãƒ³ãƒˆã‚¿ã‚°ã‚’使ã„ãŸã„ãªã‚‰ãƒ•ã‚©ãƒ³ãƒˆã‚¿ã‚°ã ã‘許å¯ã™ã‚‹ã€‚
ãれも甘ã„ãƒã‚§ãƒƒã‚¯ã ã¨å±žæ€§ã‚’使ã£ã¦ã™ã悪戯(?)ã•ã‚Œã‚‹ã‹ã‚‰æ£ç¢ºã«ãƒ‘ースã—ãªã‘ã‚Œã°ãªã‚‰ãªã‹ã£ãŸã¨æ€ã†ã€‚
ç¦æ¢ã™ã‚‹ã‚¿ã‚°ã ã‘è¨å®šã™ã‚‹ã¨ã—ãŸã‚‰ã€ä¾‹ãˆã°
<script>
ã®æ–‡å—列をå˜ç´”ã«ã‚’ç¦æ¢ã—ã¦ã‚‚ã€ã™ãã«
< script >
ã¨ã‹ã‚„られã¡ã‚ƒã†ã€‚
ファイルã«ä¿å˜ã™ã‚‹ã¨ãも安易ã«ã‚¿ãƒ–区切りã«ã—ã¦ã‚‹ã¨ã€ã‚¿ãƒ–をコピペã§å…¥åŠ›ã•ã‚Œã¦ãƒã‚°ã£ãŸã‚Šã€‚
ãã‚“ãªã‚ã‘ã§æ–‡å—列を解æžã—ã¦æ£ã—ã„処ç†ã‚’ã™ã‚‹ã¨ã„ã†ã“ã¨ã¯æ™®é€šã ã£ãŸã‚ã‘ã§ã€‚
区切り文å—(トークン?特別ãªæ„味ãŒã‚ã‚‹æ–‡å—)ã«ã¤ã„ã¦ã¯å…¥é–€ã®æ™‚点ã§è§£èª¬ã•ã‚Œã¦ã„ãŸã€‚
ãã‚ŒãŒPHPã«ãªã‚‹ã¨ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’$_GETã§ç°¡å˜ã«å—ã‘å–ã‚ŒãŸã‚Šã€DBãŒç°¡å˜ã«ä½¿ãˆãŸã‚Šã§ãã†ã„ã†æ‰€ã«æ„è˜ã‚’å‘ã‘ã«ãã„ã®ã‹ã‚‚。
DBã«ã—ã¦ã‚‚シングルクォーテーションをデータã¨ã—ã¦è¨˜éŒ²ã§ãã‚‹ã¹ãã ã—ã€ãƒ•ã‚¡ã‚¤ãƒ«åã«ã—ã¦ã‚‚../を記録ã§ãã‚‹ã¹ãã 。
例ãˆã°ã‚¢ãƒƒãƒ—ãƒãƒ¼ãƒ€ã§ãƒ•ã‚¡ã‚¤ãƒ«åã‚’../ã¨ã—ã¦ã‚¢ãƒƒãƒ—ã—ã¦ã‚‚ã€ã‚¿ã‚¤ãƒˆãƒ«ä¸€è¦§ã§../を表示ã§ãã¦å†…容を見れる方ãŒæ™®é€šã ã¨ã¾ãšè€ƒãˆã‚‹ã€‚アプリケーション上ã®ãƒ•ã‚¡ã‚¤ãƒ«åã¨å®Ÿéš›ã®ãƒ‘スã¯åˆ¥å•é¡Œã€‚実際ã®ãƒ‘スã¨åŒä¸€ã«ã™ã‚‹ã®ã¯æ‰‹ã‚’抜ããŸã‚ã ã¨è€ƒãˆã‚Œã°ã€ãŸã ã®æ–‡å—列ã¨å®Ÿéš›ã®ãƒ‘スã®æ‰±ã„æ–¹ã«ã¤ã„ã¦è‡ªç„¶ã¨æ„è˜ã™ã‚‹ã€‚
昔(5,6å¹´å‰ï¼Ÿï¼‰ã®å…¥é–€æ›¸ã‚’èªã‚“ã ら自然ã¨ãã†ã„ã†è€ƒãˆæ–¹ã«ãªã£ãŸæ°—ãŒã™ã‚‹ã‚“ã ã‘ã©ã‚‚ã€ä»Šã¯ç„¡ç†ãªã®ã‹ã€‚便利ã§ç°¡å˜ã«ãƒ—ãƒã‚°ãƒ©ãƒ ãŒæ›¸ã‘るよã†ã«ãªã£ã¦ã‚‚é ãŒè¿½ã„ã¤ã„ã¦ã„ã‹ãªã„。むã—ã‚サニタイズã¨ã‹åˆ·ã‚Šè¾¼ã¿ãŒã‚る分ã ã‘今ã®æ–¹ãŒåŽ„介ã‹ã€‚
カーãƒãƒ«ã‚½ãƒ¼ã‚¹ã®ãƒ‘ス探索部分を見ã¦ã‚‹ã¨C言語ã§ä¸€æ–‡å—一文å—解æžã—ã¦ã‚‹ã‚“ã ã‘ã©ã€ãã†ã„ã†éƒ¨åˆ†ã‚’実際ã«è¦‹ãŸã‚Šæƒ…å ±ç³»ã®æŽˆæ¥ã§ç¿’ã£ãŸã‚Šã—ã¦ã„ã‚‹ã¨ã ã„ã¶é•ã£ã¦ãã‚‹ã‚“ã ã‚ã†ãªã€‚
