技術メモ: SQLインジェクション

2007年9月1日土曜日

SQLインジェクション

というと、価格.com の事件が有名。

「価格.com　SQL」で検索してみると当時の惨状とこれに対する経営者への非難の様子がわかる。
チーフ・オペレーションズ・エンジニアなどという肩書きの技術者がいるところは、日本どころか世界でもまれかもしれないが...

技術的な内容はこのあたりでよく解説されているが、バインド変数を使用しているとこうした攻撃を防ぐことができる。

けれども mod_plsql みたいなところに脆弱性が潜んでいると難しい。
もっとも危険を避けるのであれば Internet ではこうしたものは使わないのが経験あるエンジニアなのかもしれない。

SQL and GQL　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　TOP

is null	from google.appengine.ext import db r = db.GqlQuery ("SELECT * FROM model WHERE property=:1",None) # None is the python Null. / see
count(*)	r.count()
like	r = db.GqlQuery("SELECT * FROM model WHERE property >= :1 and property < :2 ", search_key, urllib.unquote(search_key).decode("utf8") + u"\uFFFD" )
update	see
!=	!= # see
date	yymm = '2008-05-10 22:22:22' # see ydate = datetime.datetime.strptime(yymm, '%Y-%m-%d %H:%M:%S')
日付検索	from datetime import * import datetime d1 = datetime.datetime.strptime('2008-06-01', '%Y-%m-%d') d2 = d1 + timedelta(days=10) r = db.GqlQuery("select * from model where date >=:1 and date <:2 ",d1,d2) 　for rr in r: print datetime.datetime.strftime(rr,'%Y-%m-%d %H:%M:%S') Dates and Times
	datastore viewer http://localhost:8080/_ah/admin/datastore?kind=StockSum&order=-nikkei_max&order_type=float&num=100&start=0
reference	see (back-references), Many-to-many Join
key, key_name ,id	Key names and IDs cannot be used like property values × select * from Greeting where key = "xxxx" × select * from Greeting where id = xxx ○ r = Greeting.get(db.Key.from_path('Greeting', id)) # or key_name ○ r = db.get("agpoZWxsb3dvcmxkcgsLEgRCbG9nGNQBDA") key = r.key() id = r.key().id()

2007年9月1日土曜日

SQLインジェクション

量子コンピュータ 量子力学のはじまり

量子コンピュータ　量子力学のはじまり