パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    SQL注入されちゃうのはプログラムの欠陥だろー>asahi.comの記事
    • 本当にクラックの方法が記事どおりだとしてら、

       これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

      • 入力された値のバリデーションを正しく行うことは、Secureプログラミングの基本だと思うのだが、、、

        違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。

        どういうわけか、入力をサニタイズするという場当た

        • > どのように使われるかわからない入力値をどうやって完全にサニタイズするんでしょうか。

           セキュリティとは違うのかもしれませんが、データを入力するユーザーが間違える可能性を考慮しないというのはまずいのではないでしょうか。たとえば電話番号の入力を要求しているのにアルファベッ
          --
          ---- 6809
          • Re:サニタイズ?何それ (スコア:-1, フレームのもと)

            by Anonymous Coward

            電話番号の入力を要求しているのにアルファベットが来たら、チェックして正しいデータを入れてもらうようにしないと。

            そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた

            • >あと、都道府県を入れるのにいちいちメニューにするのはウザすぎ。「とうきょうと[変換]」と打っつほうがめちゃめちゃ早い。

              別枠で入力させたくて、なおかつ入力される値が限定できる場合は select にします。
              • Re:サニタイズ?何それ (スコア:-1, フレームのもと)

                by Anonymous Coward
                でも表記の揺れに対応するより入力方法を制限する方が絶対に確実ですから。
                都道府県ごときでそんなことして意味あんの?
                「またヴァカが作ってるサイトだよ」と思われるだけだが。
              • by Anonymous Coward on 2005年05月26日 9時15分 (#740989)
                自己完結している小さなプログラムしか作らない人には意味はないよ。
                親コメント

ソースを見ろ -- ある4桁UID

処理中...