ockeghem@ニートセキュア株式会社

http://www.tokumaru.org/
http://www.hash-c.co.jp/
http://d.hatena.ne.jp/ockeghem/
http://twitter.com/ockeghem/

ockeghem@ニートセキュア株式会社's subscribed user(108)

ockeghem@ニートセキュア株式会社's comment

> なんと、サンプルコードがまともですか。それはすばらしい by ikedam
PHPのPDOでバインド使っています。PDOについては、僕自身評価しなきゃいけないと思っていますが、アプリケーションとしてはまともだと思います。XSSは、htmlspecialcharsつきのechoを関数定義して使っています

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:33:51 via web Reply

fav:

> パスワードをハッシュ化して格納という話ではなく？ by ウ工ノセン
ユーザIDとパスワードの両方について書いてあるのです。ユーザIDをハッシュ化することは普通しないと思いますがねぇ

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:32:05 via web Reply(1)

fav:

ちなみに、同じく今日届いた『PHP×携帯サイト実践アプリケーション集』の方がSQLインジェクションについてはまともだったという印象です。

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:29:55 via web Reply(1)

> って、DBの暗号化機能を使うってことなら意味ないなぁ by ikedam
そそ

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:24:06 via web Reply

> 暗号化すれば「'」が別のデータになるのでSQLインジェクションが起こらないぜってことでは？ by ikedam
でも、7章ではOracleのTransparent Data Encryptionの説明していて、これはサーバー側で透過的に暗号化・複合化するので、SQLインジェクションも普通に起きるんですけどねぇ

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:22:43 via web Reply

fav:

うーむ、突っ込みどころ満載だわな。SQLインジェクション対策にDBの暗号化は普通意味ないでしょう。アプリケーションが読み出した時点で復号されているわけだから…それとも、もっと複雑な方法を指しているのかな?

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:18:24 via web Reply(2)

fav:

> つかDBの専門家が書いているのにその内容とは･･･orz by ikedam
ですよねー

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:15:17 via web Reply

> これ、携帯電話！とか言って新しいノートパソコンを買いたい誘惑と戦っているので、うらやましいｗｗｗ by はなずきん
一ヶ月くらい猶予がありますので、これから選びます。この迷っている間が一番楽しいというウワサ

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:14:24 via web Reply

fav:

> うは、ひどひ by ikedam
SQLインジェクションは付録B-3に書いてあって、まぁオマケなんでしょうが、この品質なら書かなきゃ良かったのにと思いました

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:12:31 via web Reply(1)

fav:

某勉強会の講師を引き受けたが、今ノートPCがないことに気がついた。買わなきゃ

by ockeghem@ニートセキュア株式会社 at 2009-07-04(Sat) 00:11:33 via web Reply(1)

fav:

Sign In

Forgot Password?
Sign Up

Menu