【雑感】
＝＝＝
※ご注意
他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。
＝＝＝
とのことで、セキュアなWebサイトを運営するためのWebアプリケーションに潜むセキュリティホールが連載されている。
第2回 顧客データがすべて盗まれる？！
# 次のようなSQLを使っているとしよう。
$SQL="SELECT * FROM user WHERE userid=’$input_userid’ AND password=’$input_password’";
# ユーザーにuseridとpasswordを入力させ、それらが一致したレコードが取り出されることを想定している。ところが、ユーザーからの入力が次のような場合はどうだろう？
input_userid：dummy
input_password：’or’A’=’A
# 実際に実行されるSQLは、
SELECT * FROM user WHERE userid=’dummy’ AND password=’’or’A’=’A’
# というSQLになり、すべてのレコードが該当するようなSQL文に変わってしまう。これにより、その中のいずれかのユーザーでログインできてしまうだろうが、双方とも基本的には入力値チェックとサニタイジングで十分回避できるとのこと。
第1回 サーバのファイルが丸見え？！

尚、サニタイジングとは入力データから危険な文字を検出し，置換・除去することにより，入力データを無害化する処理。

♪ 目覚まし時計

目覚まし時計


窓辺の
木々も青さを深め
若葉の香りが
薄まりかけている
今朝は鳴らない
目覚し時計


うつろに
木々に目を落とす
まどろみのなか
空白の時が
静かに流れる
今朝は鳴らない
目覚し時計


あなたと
出会った日々を
あなたの言葉を
追いかけている
今朝は鳴らない
目覚まし時計

（追詩&編集：saburooさん）

♪ Medley yumin ♪

思い浮かんだ断片的な詩片に、追詩を頂きまして、
心に残る詩になりました。ありがとうございます。
2003/06/10 1:15:19

MM(横浜)-1 & 顧客データがすべて盗まれる？！
　　



2003/06/09 3:53:51
↑ありゃ〜ここでも出ました…LycosダイアリーLogのバグ？記念に取っておこう〜っと。