アカウント名:
パスワード:
セキュリティーのことまでしっかり考えて作ったサンプルコードが載っている本があったとしても、そんなコードが載っている本は、もはや入門書ではなかろうという気がするんですが。(笑
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
またSQLインジェクションか (スコア:2, すばらしい洞察)
Re:またSQLインジェクションか (スコア:3, すばらしい洞察)
Webプログラム、誰にでも簡単に書けるように見えます。でも、実際は違いますね。特に外部公開されるシステムはすべての開発要員がセキュリティの知識を持っていなければならないと個人的には思う。
それなのに上の連中は新人さんを次から次へと投入してくるんだから.....。はぁ。
セキュリティを知らない人間は外部公開されるWebプログラムは作らないでほしいです。周りに公害を広めるだけなので。
でも、私自身SQLインジェクション攻撃ができるところを見つけてもそれを修正しなかったという前科があるのだった(非道)。まあ、社内システムでしたからね(極悪)。
Re:またSQLインジェクションか (スコア:2, 興味深い)
とりあえず動いてそこで満足しちゃうとか、それ以上時間をかける事の出来る人員がそもそも用意されてないとか。
「完璧」じゃないと危険があるけど、それが出来るのは特定のスキルを持ってる人が作るとか、メンテしないとできない。
しかも、世の中ドンドン新しい攻撃が出てくる。
あと、もう一つは「入門書」や「参考書」を書くスキルと、「安全なコード」を書くスキルはまったく別物ってのも有るかもしれない・・・
# ちょっとそのままコピペすると危険な作りの入門書とか多い気がする。
Re:またSQLインジェクションか (スコア:1)
セキュリティーのことまでしっかり考えて作ったサンプルコードが載っている本があったとしても、そんなコードが載っている本は、もはや入門書ではなかろうという気がするんですが。(笑
vyama 「バグ取れワンワン」
Re:またSQLインジェクションか (スコア:2, 参考になる)
少なくとも1/24 15:30の時点ではスカイソフト [skysoft.co.jp]のサイトに情報漏洩に関する記述はありませんが、情報が流出した恐れがある顧客への連絡は行っているんでしょうか。
特にクレジットカードの情報が漏れた可能性があるのならばすぐに顧客にそれを連絡するべきでしょう。
スカイソフトがそうかどうかはわかりませんが、クレジットカードの被害は保険でカバーできるし、個人情報漏洩のお詫びも1件500円でOK、のように問題を軽視している事業者が多いように思えてなりません。
Re:またSQLインジェクションか (スコア:1, すばらしい洞察)
個人情報保護法が既に施行されていますから
それだけじゃ済まないことはみんな知ってますよ
情報が漏洩してしまうことの前に
万が一の漏洩の事態でも被害を最小限に留める為にも
不要な個人情報を蓄積しておくことを弊社では禁止しています
他所でも同様に厳しくやってるんじゃないでしょうか?
Re:またSQLインジェクションか (スコア:1, おもしろおかしい)
Re:またSQLインジェクションか (スコア:0)
#cshでCGIスクリプト書いてた時代もあったねと。
Re:またSQLインジェクションか (スコア:2, すばらしい洞察)
と経営者に聞いてみたいね。
プログラマがSQL文の数なんざ覚えている必要はないけど、
顧客データの載ってるDBの数や、対策の有無は、
少なくとも責任者は知っておく必要がある。