パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ゆうちょPayアプリで「々」が含まれる氏名の登録が行えない不具合」記事へのコメント

  • 絵文字でも何でも受けつければいいのに😛
    • by Anonymous Coward

      やってみろ
      SQLインジェクション等されまくって
      個人情報ダダ漏れになって
      簡単に死ねるから

      • by Anonymous Coward on 2019年05月10日 15時17分 (#3612338)
        やっぱりそれか
        SQLとして意味のある記号をエスケープすればいいだけなのに、SQLとして意味がある記号が何か分からない(ドキュメント見れば全部書いてあるのに!)から手当たり次第に制限してんだよね。
        そんなカーゴカルトプログラミング手法で本当に危険な記号を排除できてるとどうして信じられるんだろう・・・
        親コメント
        • by Anonymous Coward on 2019年05月10日 15時33分 (#3612355)

          「佐々木」の入力すら想定できない開発者が、SQLのドキュメントに基づいて適切にエスケープできるわけないじゃん

          親コメント
          • by Anonymous Coward

            ヒント:Prepared Statement

            DBプログラミングやったことないと知らないかもだけど、もはや基本テクニックの一つ。
            #車輪の再発明を避けるってのはこういうことだ。、

        • by Anonymous Coward

          全部を監督できる環境ならいいけど、他システムからの入力だのがあって文字コード変換や予期しないサロゲートペアだのが放り込まれて、エスケープしたつもりがU+00A5を通しちゃいましたとかなるからだろ

          • by Anonymous Coward on 2019年05月10日 15時42分 (#3612370)

            他システムからの入力をエスケープできない段階でアプリ関係なくアウトなのでは

            親コメント
            • by Anonymous Coward

              クライアント側に緩和策入れて「直叩き対策は?」って聞くと「アプリの改変は規約違反だから起こらない」とか意味不明の言い訳するやついるよね

            • by Anonymous Coward

              社内の端末の専用アプリからしか入力がないエスケープが必要がなかったシステムに、スマホからユーザが入力した文字列が入ってくるようになったとき、エスケープ処理を追加するより、ホワイトリストで許されるものしか通さないようにするほうが楽じゃね?

              • by Anonymous Coward on 2019年05月10日 18時37分 (#3612523)

                って思うじゃん? いや、確かに楽だよ。楽だけどさ、結局今回のような問題が発生するわけで。

                ホワイトリスト制限するのは自由だけど、だからといってエスケープ処理をしなくていいという考えは危険だと思うよ。

                親コメント
          • by Anonymous Coward

            サーバで落とせや!!!!!!!1

        • by Anonymous Coward

          > 意味のある記号をエスケープすればいいだけ
          いやぁ、『々』を見落としちゃう現場ですよ?
          「すればいいだけ」なんて言ってると絶対にまた見落としが出ます。

          というか、意味のある記号だけエスケープって、文字列のデータしか考慮してないですか?
          数値を埋め込むべきところにandとか通常の英字をぶち込まれるのは考慮しないつもりなんですか?
          全部文字列データとして渡せば解決と思ってますか?暗黙の型変換でもっと色々死ねますよ?

          • by Anonymous Coward on 2019年05月10日 16時00分 (#3612401)

            SQLインジェクション対策に入力文字制限とか普通しないって。
            かな英数字ならともかく、漢字の範囲なんか簡単にはできないでしょ。
            これアプリのレビュー見ると散々だよ?
            この問題だけじゃなく至る所でやらかしてる感じだよ。
            どんな開発会社に頼んだんだよ。

            親コメント
        • by Anonymous Coward

          そういうSQLエスケープ処理は、データベース製品についてくるライブラリの仕事じゃないの。
          暗号処理と一緒。

          え、自分でエスケープ処理を書いているって? そもそも、それが危ない。。

          • by Anonymous Coward

            上の方でサニタイズ言ってる人たちがそれに当たりそうで怖い・・・w

          • by Anonymous Coward

            え、自分でエスケープ処理を書いているって? そもそも、それが危ない。。

            いや、本当にそう
            でも、自分で書こうとする人が後を絶たない
            知らないだけなんだろうけど

日々是ハック也 -- あるハードコアバイナリアン

処理中...