SQL識別子の扱い - 2015-05-08 - T.Teradaの日

テクノロジーカテゴリーの変更を依頼記事元:

blog.ts5.me

1 userがブックマークコメント

コメント

1

記事へのコメント1件

注目コメント
新着コメント

ockeghem 『少々エッジケース気味なので、今日の日記ではORDER BY句のカラム名が外から指定可能な前提で、どんな攻撃が可能なのか考えてみます』<エッジケースすまそw

2015/05/08 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

SQL識別子の扱い - 2015-05-08 - T.Teradaの日

SQLの検査方法について書いた勢いで、SQLの識別子の扱いについて書いてみます。議論としては、1年以上... SQLの検査方法について書いた勢いで、SQLの識別子の扱いについて書いてみます。議論としては、1年以上前に結論が出ている話ですｗ間違いだらけのSQL識別子エスケープ | 徳丸浩の日記徳丸さんの記事では、テーブル名が外部から指定可能な設定で説明がされていますが、少々エッジケース気味なので、今日の日記ではORDER BY句のカラム名が外から指定可能な前提で、どんな攻撃が可能なのか考えてみます。例としてSNSサイトのユーザ検索機能のSQLをとりあげます。 SQL文は下記のようなイメージです。 SELECT nickname, prefecture, greeting FROM members WHERE nickname like ... AND prefecture=... ORDER BY {$order}, nichname 検索結果画面にはSELECTした結果のニックネーム、都道

ブックマークしたユーザー

ockeghem2015/05/08

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx