アカウント名:
パスワード:
うーん、わたしゃ、10年以上OCI/ODBC/Postgres(はここ最近)のプログラム書いてるけど、Prepare->Bind->Executeでしか書かないのが普通だと思うんだが。てか、sampleにそれしか載ってない。
何をどうして、SQL Injectionされるようなコードがかけるのか?謎だ。
これ [srad.jp]か。prepareでエスケープしてるとか何勘違いしてるのかと思ったら実はそういう実装だったという…('A`)
# 自分が使ってるのはOracleなので当然そんなクソはない
まてまて、Oracle だって大昔は結構穴だらけだったんだ。
でだな。他の国なら「それは昔の話」で安心していられるのだが。日本だけは、『何故そんな遺跡のようなものが現役で』とか『あれ?! これつい最近サービスインですよね??! 最新が 6.0 なのに 7.3 って何事ですか?!(一周する前の代物でした)』とかがゴロゴロしているので、Oracleだから大丈夫って言うセリフは絶対信頼できないんだな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
未だにSQL Injection (スコア:3, すばらしい洞察)
うーん、わたしゃ、10年以上OCI/ODBC/Postgres(はここ最近)のプログラム書いてるけど、Prepare->Bind->Executeでしか書かないのが普通だと思うんだが。
てか、sampleにそれしか載ってない。
何をどうして、SQL Injectionされるようなコードがかけるのか?謎だ。
Re:未だにSQL Injection (スコア:0)
Re: (スコア:0)
これ [srad.jp]か。
prepareでエスケープしてるとか何勘違いしてるのかと思ったら
実はそういう実装だったという…('A`)
# 自分が使ってるのはOracleなので当然そんなクソはない
Re:未だにSQL Injection (スコア:1)
まてまて、Oracle だって大昔は結構穴だらけだったんだ。
でだな。他の国なら「それは昔の話」で安心していられるのだが。
日本だけは、『何故そんな遺跡のようなものが現役で』とか『あれ?! これつい最近サービスインですよね??! 最新が 6.0 なのに 7.3 って何事ですか?!(一周する前の代物でした)』とかがゴロゴロしているので、Oracleだから大丈夫って言うセリフは絶対信頼できないんだな。
fjの教祖様