[PHP-users 30196] Re: ご意見等をよろしくお願いいたします

[IITAKA TOSHIKAZU]

筑波大学の飯高です。お便りをありがとうございます。
昨日は少し子供じみた投稿をしてしまいました。
すみません。

正直、皆様が、
「うぜーよ！投稿なんてしてくんなよ！」とか
お思いだったらどうしよう、と思っておりました。

ですが、松本さんをはじめとする方々のお便りを頂、
必ずしもそうではない、と分かりましたので一安心です。

しかし、投稿の内容には注意を払うべき、と実感
できましたので、これからは慎重になろう、と
思います。

また、以下の脆弱性のご連絡を、ありがとうございます。
あがっているソースでは、シングルクオートをして
おりませんでした。
このため現在は暫定的に、エスケープに
シングルクオートすることで対応したものを、
アップロードしておきました。

もう少し勉強の上、数値系のチェックをはじめとした
よりよい手法を探求してみたい、と思っております。

今回はご連絡を、どうもありがとうございます。

飯高敏和

--- Reiji Matsumoto <matsumoto ＠ spline.oc.to> wrote:

> 松本と申します。
> 
> >
> 私の投稿で不愉快な思いをされた方がいらしたようなので、
> > 私も以後は、このMLへの投稿はひかえるつもりです。
> 
> 一通りスレッドを読んでみましたが、特に不愉快な思いを
> されている方がいらっしゃるとは感じられませんでした。
> まぁ、このメーリングリストに集う識者の方々に納得しても
らえる
> セキュリティレベルを確保するのは、それなりに難しい事か
も
> 知れませんが。:-)
> 
> > ですが特に、外部から受け取った値を
> > mysql_escape_string()
> > などをして、シングルクオートした際に、
> >
> ダイレクトSQLコマンドインジェクションができてしまう
> > ケースが、真面目な話、分からないです。
> 
> それは是非、書籍等で勉強された方がよろしいかと思います
。
> 全部のソースを見てはおりませんが、少なくとも
> /test_maker/data/data_for_group.php の
> 20行目の処理に、
> SQLインジェクション脆弱性を確認しております。
> 失礼ながらここでの処理は、エスケープさえすれば脆弱性を
回避
> できるという考えの典型的な失敗例かと思われます。
> 
> 例えば、
> 
> SELECT * FROM tbl WHERE id=$class_id
> 
> というSQLを実行する場合、$class_idが "0;DELETE FROM
> tbl"
> の場合に、tblテーブルを全削除できます。
> 
> 主に外部変数 $class_id
> の処理に問題を抱えております。
> この変数は数値なのですから、事前に数値である事を集中管
理的に
> チェックするのが理想的なやり方ですね。
> 
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ns1.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ -
> 質問する前にはこちらをお読みください
> http://www.php.gr.jp/php/novice.php3
> 


--------------------------------------
For All Sports Lovers!
http://pr.mail.yahoo.co.jp/yells/