アカウント名:
パスワード:
2000年頃か・・この頃はWebアプリ制作でもセキュリティがほとんど考慮されてなくて「仕様通りに遷移すればいい」って感じだったからな。
自分が関わったものでも今考えるとXSSやSQL,OSコマンドインジェクションが起きそうで怖い。「さすがにもう使ってないだろ?」と思ってるのが現役ってことがあるし・・
2000年頃なら,SQL はまだあまり使われてないから心配いらない。
ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?
> ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?
フォームでIDを入力、そのIDに拡張子 dataをつけてファイル名にしてそれをオープン・・・はい、そこにOSコマンドインジェクション。・・・とかね。
Perlのopenは超簡単にOSコマンドインジェクションを起こせる恐るべき仕様だったからな(いやリモートシェル上で普通に使う分には便利なんだけど)。
perl5導入された3引数openを使えば問題ない。んだけど、perl5が出たの1994年なのに、CGI全盛期まで長らくperl4がはびこってたし、互換性を引きずりすぎて、手軽な穴がいっぱい残った印象がある。taintモードで動かすだけでも、手軽にかなり安全になるのに…
ふつーにSQL使ってましたが。MySQLよりPostgreSQLのほうが多かったと思う。
俺のやってた仕事じゃ使ってたぞ。まだまだオープンソース系DBの評価がいまいちだったからだいたいDB2かOracleだったな。
ターゲットはWebSphereだけど開発テストで使ってたのはTomcat ver3の時代・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
当時は (スコア:0)
2000年頃か・・この頃はWebアプリ制作でもセキュリティがほとんど考慮されてなくて
「仕様通りに遷移すればいい」
って感じだったからな。
自分が関わったものでも今考えるとXSSやSQL,OSコマンドインジェクションが起きそうで怖い。
「さすがにもう使ってないだろ?」と思ってるのが現役ってことがあるし・・
Re:当時は (スコア:0)
2000年頃なら,SQL はまだあまり使われてないから心配いらない。
ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?
Re: (スコア:0)
> ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?
フォームでIDを入力、そのIDに拡張子 dataをつけてファイル名にしてそれをオープン・・・
はい、そこにOSコマンドインジェクション。
・・・とかね。
Re: (スコア:0)
Perlのopenは超簡単にOSコマンドインジェクションを起こせる恐るべき仕様だったからな(いやリモートシェル上で普通に使う分には便利なんだけど)。
Re:当時は (スコア:2)
perl5導入された3引数openを使えば問題ない。んだけど、
perl5が出たの1994年なのに、CGI全盛期まで長らくperl4がはびこってたし、
互換性を引きずりすぎて、手軽な穴がいっぱい残った印象がある。
taintモードで動かすだけでも、手軽にかなり安全になるのに…
Re: (スコア:0)
ふつーにSQL使ってましたが。
MySQLよりPostgreSQLのほうが多かったと思う。
Re: (スコア:0)
俺のやってた仕事じゃ使ってたぞ。
まだまだオープンソース系DBの評価がいまいちだったから
だいたいDB2かOracleだったな。
ターゲットはWebSphereだけど
開発テストで使ってたのはTomcat ver3の時代・・