Raison d’être

電脳硬化症気味な日記です。まとまった情報は wiki にあります。

2008.11.1 (Saturday)

at 21:22  

Cookieを使うSQLインジェクション   [ICTメモ]

 nikkei.netより。
 ASP.NETやPHPでの「Request("引数名")」ね。。。ASP.NETの場合、「Request.Params」もね。。。 確かにCookieやGET,POSTパラメータを区別しませんよ。まずいね、、、 現在関わっている開発プロジェクトにビンゴなケースです。実際、自分が書くコードであれば、取得方法を明確に区別するんですが。。。
 加えて、「DEC%LARE」か。。。確かに「%」は無視するし、「DECLARE」文字列検索にもヒットしない。

 記事では、WAFの導入を勧めていますが、私には導入経験がなく、躊躇があります。性能(スループット)とか、どんなもんなんでしょうね。


« SBモバイルのタダメロディ… Clip to Evernote
最終コーナーのドラマ -F1 Br… »
  trackback:    



Go back.