パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く」記事へのコメント

  • 自前でやるからバグが混入する
    サニタイズする関数やライブラリが主要言語に標準であればいい

    • SQLインジェクションの標準的な対策はサニタイズじゃなくてステートメント利用ですよ。

      親コメント
      • by Anonymous Coward

        20年近く前でもステートメントなんて常識に近かったのに
        未だに使ってないアホな所あるの?
        百歩譲って数十年前から稼働し続けてるとかならまだギリギリ理解できるが(それでも普通は対応する)
        レガシーASPの時ですらやってたぞ。
        今どきなら学生が作ってすら当然のように対策してるよな。

        • by Anonymous Coward

          修正コミット [github.com]見ると、パラメータがエスケープされるようにしましたみたいな感じだな。

          まあ今だったらこなれたライブラリを使うんだが、GLPIはスタートが2003とかみたいだし
          開発リソースが足りないとテコ入れ改修は難しいのかな、ライブラリは流行り廃りもあるし。

          それでも普通は対応する

          プロジェクトのお守りする立場だったら考えるけど、一開発者ならあんま振られたくないお仕事だなw

          • by Anonymous Coward

            これ、PHPのプロダクトなんですね。

            PHPは知らないので調べたみたら、PHPでDB接続するには、PDO(PHP標準)を使用する様で、このPDOが実装されたのが 5.1.0(2005年リリース)だそうです。
            なので、2003年のプロダクトだと非標準のライブラリを使ってるわけで、そのライブラリがステートメント対応してなければ、上記の対応でもしょうがないですね。

        • by Anonymous Coward

          自分はステートメント使わずにいつも文字列連結だなぁ。
          エスケープは忘れてない。

      • by Anonymous Coward

        ステートメント使ったところで信頼出来ない文字列でSQL組み立ててりゃダメだろ。

        • 少なくとも本件の原因となったSQLインジェクションは防げるわけだから十分じゃないの。

          エスケープしないとならない文字のチェックはSQLエンジンに任せるのが確実で、それを自前でやってどれだけ効果があるのか疑問だし、そもそもステートメント使ってれば、発生する事象は検索・更新できないと言う方向になるわけで、データを壊したり流出させる可能性は限りなく低いと思うのだけど。

          親コメント
    • by Anonymous Coward

      問い合わせ言語に独自文法のSQLなんて使わずにXML辺りにしときゃ良かったんじゃなかろうか。
      いろんなプロトコルがそうだけど、コンソールに人間が対話的に入力するみたいなイメージでプログラム間の通信を定義すること自体がトラブルの元だとしか思えない。

      まぁ現状なら自前でやらず信頼できるライブラリかなんか使えとしか言えないが。

      • by Anonymous Coward

        XMLでパラメータ指定するときにエスケープ忘れたら同じよ。
        HTMLだけどXSSとかさ。

    • by Anonymous Coward

      サニタイズ笑

      • by Anonymous Coward

        サニタイズ言うな!キャンペーンとか懐かしす。
        セキュリティホール以前に機能面での不具合だもんなぁ。こんなの。

        • by Anonymous Coward

          「サニタイズ」って英数字を全角に変換することでしょ?

          • by Anonymous Coward

            全角英数字と()を使うやつを許さない。
            特にファイル名に使われてるのを見るとその日は一日中不機嫌になるので注意して。

            • by Anonymous Coward

              一緒に仕事してるやつもスラド見てるのがわかってて、直接言うと角が立つからここに書き込んでるってこと?

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...