パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Web制作者の常識、開発エンジニアの常識」記事へのコメント

  • by Anonymous Coward on 2006年07月26日 11時47分 (#984949)
    SQLインジェクションも知らないでWebサイト作成に関わるなんてあり得ないと思うんですが…(静的ページのみとしても、仕切るだけとしても)

    旧来のOSなどアプリケーションの作成に詳しい方でも、Web技術にあまり詳しくない方がプロジェクトを仕切ると、Webサイトがちゃんと動くか、見た目は大丈夫か?のテストしかしないみたいなことがあったのですが、腕のある技術者でも大丈夫かなぁと思うことがしばしば。

    • by TarZ (28055) on 2006年07月26日 13時07分 (#985036) 日記
      SQLインジェクション脆弱性の有無と、「Webかどうか」は直接は関係ないです。従来のC/Sアプリケーションでも
      あり得た問題です。ここが、XSS脆弱性などと大きく異なるところ。
      (Webによって、SQLインジェクションの影響がより広範囲かつ深刻になった、という事情はありますが)

      なので、「旧来のOSなどアプリケーションの作成に詳しい方」であれば、仮に「Web技術にあまり詳しくない」と
      してもSQLインジェクションは知っているはずで、すなわち「Webサイトがちゃんと動くか」の確認内容にSQL
      インジェクションの有無の確認も入っているはずなのです。

      Web化によってSQLインジェクションがことさら注目されるようになったということは、旧来のC/Sアプリでいかに
      そのあたりがサボられていたか、ということの裏返しのような気がします。

      従来も問題はあったのだが、使用者が限られており、影響も
       「 "It's mine." を登録しようとするとエラーになるんですけど?」
       「それは制限です」
      …程度で済んでいた、ということでしょう。
      親コメント
      • by Anonymous Coward on 2006年07月26日 17時00分 (#985178)
        > 「それは制限です」

        程度ならいいのですが、CSで育った技術者の中には、SQL Injectionを指摘すると「何を気にしてるの?」と馬鹿にする向きもありますよ。

        曰く
         「『その文字は入れないでください』とか言えばいいだけでしょ。」
         「悪意をもっているなら法律で対処可能だから気にする必要はありません」
         「工数を増すの? 仕事なんだよ。ちゃんと考えたら?」
        と。

        # いまだに見る問題なのでAC

        親コメント
        • それは「CSで育った」かどうかは関係なく属人的な問題でしょう。
          CSシステムだって対策するに決まってます。
          データがぶっ壊れる可能性があるんだから。

          というか、そんなレベルの低い技術者には会ったことがありません。
          新人ならともかく。
        • 技術者じゃない人達の反応としては然程珍しいものだとは思わないけど、
          技術者とされるポジションでそんな反応をするヒトは見た事が無い。

          /.Jで時々、技術者のフリして一般人に対する暴論を書き殴ったコメントがあるが、
          その類いなのではないか? 言ってる内容が全然技術者視点じゃない。
        • 大手ならさもありなんですが、そんな職場はさっさと辞めて転職しましょうよ。
          給料もらえても人生の切り売りもったいない。

          嫌々php書いてるのでAC
        • 新規開発された社内Webシステムにログインしたところ、
          テーブル名らしき日本語(もちろんエスケープされていない)が含まれたアンカーリンクを発見して、
          しかもそのテーブル名が間違っており、違う部署の情報が表示されたというのを見たところがあります。

          どういう外注に発注したかはしらんが、作るほうも、発注する方もスキルがなさすぎ。

          はずかしすぎるので、絶対AC
        • そんなのテーブルをdropしたり、レコードを全部削除しちゃったりするSQL Injectionを例に挙げれば一発で説得できるんじゃないんですかね。

          「これが入力されたらどうなります?」

          これで反応が薄いようだったら、解説する。それでも反応が薄いようだったら実際にやってみせる。それでも駄目なら、逃げるしかないでしょう。

          法律で対処可能といっても実際に被害が出たときに、それが予見できていれば損害賠償の対象になりうるでしょうし、実際予見しているわけですから。加えてこれだけいろんなところで言われていることですからね。技術者だったら「知らなかった」はもう通らないでしょう。対処しないことによる法的なリスクは非常に高いと思います(判例はまだないでしょうけど)。
        • by Anonymous Coward
          ユーザが入力した文字列を使ってプログラム組み立てて実行するというモデルは、やっぱりまずいんじゃないかと。いろいろ。SQLだから仕方なく(?)使ってるけど、ふつーはこんな設計は避けるよな。
          #この間久しぶりにSQL使ったプログラム書いて
          #面倒くせ―なと思っちゃっただけなんですけどね。
    • by sen (197) on 2006年07月26日 12時04分 (#984973)
      > SQLインジェクションも知らないでWebサイト作成に関わるなんてあり得ないと思うんですが

      ですが、未だにこの問題が報告されている現状からしますと,
      多いにあり得る状況なんですよ。
      親コメント
    • 自分の関わったシステムをなるべく手間をかけないで
      破綻させたり、不必要なヒントを与えたり、仕様外の操作をできるかという視点と想像力が足りなさ過ぎな奴が多すぎ。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...