パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    SQL注入されちゃうのはプログラムの欠陥だろー>asahi.comの記事
    • 本当にクラックの方法が記事どおりだとしてら、

       これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

      • 入力された値のバリデーションを正しく行うことは、Secureプログラミングの基本だと思うのだが、、、

        違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。

        どういうわけか、入力をサニタイズするという場当た

        • > どのように使われるかわからない入力値をどうやって完全にサニタイズするんでしょうか。

           セキュリティとは違うのかもしれませんが、データを入力するユーザーが間違える可能性を考慮しないというのはまずいのではないでしょうか。たとえば電話番号の入力を要求しているのにアルファベッ
          --
          ---- 6809
          • Re:サニタイズ?何それ (スコア:-1, フレームのもと)

            by Anonymous Coward

            電話番号の入力を要求しているのにアルファベットが来たら、チェックして正しいデータを入れてもらうようにしないと。

            そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた

            • >あと、都道府県を入れるのにいちいちメニューにするのはウザすぎ。「とうきょうと[変換]」と打っつほうがめちゃめちゃ早い。

              別枠で入力させたくて、なおかつ入力される値が限定できる場合は select にします。
              • Re:サニタイズ?何それ (スコア:-1, フレームのもと)

                by Anonymous Coward
                でも表記の揺れに対応するより入力方法を制限する方が絶対に確実ですから。
                都道府県ごときでそんなことして意味あんの?
                「またヴァカが作ってるサイトだよ」と思われるだけだが。
              • 表記の揺れは入力でやっとかないと検索時に大変です。

                "東京"と入れる人と"東京都"と入れる人と"TOUKYOU"と入れる人。。。
                などなど出てきますから。

                検索時に東京に住んでる人すべてを検索する場合、入力を制限しないと全部に対応する必要が出てきます。

                #どっちがバカか。。そういう情報が必要なサイト作ったことありますか?
              • Re:サニタイズ?何それ (スコア:-1, フレームのもと)

                by Anonymous Coward
                検索時に東京に住んでる人すべてを検索する場合、
                そんなことをする必要がないでしょう。
                必要もないことのために顧客に不便をかけている。
                「これは本当は必要ではないんではなかろうか」とか考えたこともないでしょ。まさにバカ。
              • データを持っている。
                企業側では結構必要ですよ。

                購買傾向分析、ダイレクトメール等など。。

                ユーザー視点、企業視点両方の視点で物事が考えられないあなたがばか。

                また、コンボボックスにしてるのを律儀にテキストで保存してると思ってます??

                マスター化するのが一般的ですよ。
                最近はついでに市区町村も
              • by Anonymous Coward on 2005年05月27日 10時17分 (#741807)
                ベンダー営業側視点としてはコストを抑えて作るよりも
                ややこしい仕様にして工数を稼ぎ、
                後々にもメンテでお金を搾り出せる作りにしておくのが
                いいってことではないかと邪推しました。

                #作る側の視点は考慮してないのでAC
                親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...