アカウント名:
パスワード:
ソースレベルでの機能に関してはソースを書き直しで対処できるけどセーフモードの削除となったから今後レンタルサーバはセキュリティーを確保するためにCGIモードでPHPを動かすって選択になるのかな?それかmod_suPHPの方を使えって事ですかね。
後はマジッククオートが削除されたから自分でソースレベルでしっかり書いてセキュリティー対処しろと言うことですね。
マジッククオートなんてセキュリティ対策にもならんて。
SQL インジェクション対策の最低限の所を自動でやってくれる
というか君、マジッククォートって何か知らないでしょ。知ったかぶりは駄目だよ。
Magic Quotes がセキュリティ対策として論外なのはもはや常識の範疇だと思うのだけど
でも自前でマジッククオートと同じような処理は自前で結局はやる必要が最低限ある。
ねーよ。SQLを動的に組み立てないでプレースホルダ使え。以上「対策したつもりで大穴開けっ放し」なんてもののことを「最低限」とは言わん。
magic quotes が効くのは所詮入力がブラウザ(UA)で、かつ出力がSQLの時だけ。しかも行われるのはサニタイズだからちょっと文字列を加工した瞬間に危険な文字列になりえる。もちろん、別途ファイルから読んできたデータなり、どこか(典型的にはネットワーク)からとってきたデータはすべて危険な状態。中途半端に対応してるつもりになるくらいだったら最初から全部危険な文字列として取り扱った方が安全。SQL組み立てる(プレースホルダやSQLビルダを含む)時にこの文字列は危険、この文字列は安全なんて識別するの無理でしょ。
最低限って言葉の意味を理解できない人っていますね。最低限だからそれにプラスしてほかに持って理解できないあたりもうだめですね。
なぜマジッククォートが批判され、削除されるようになったのか調べてはいかが?それは有益であるならば削除されることはなかったでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
こんどこそ大丈夫なんですよね? (スコア:1)
Re: (スコア:0)
ソースレベルでの機能に関してはソースを書き直しで対処できるけどセーフモードの削除となったから今後レンタルサーバはセキュリティーを確保するために
CGIモードでPHPを動かすって選択になるのかな?
それかmod_suPHPの方を使えって事ですかね。
後はマジッククオートが削除されたから自分でソースレベルでしっかり書いてセキュリティー対処しろと言うことですね。
Re:こんどこそ大丈夫なんですよね? (スコア:0)
マジッククオートなんてセキュリティ対策にもならんて。
Re: (スコア:0)
SQL インジェクション対策の最低限の所を自動でやってくれる
というか君、マジッククォートって何か知らないでしょ。
知ったかぶりは駄目だよ。
Re: (スコア:0)
Magic Quotes がセキュリティ対策として論外なのはもはや常識の範疇だと思うのだけど
Re: (スコア:0)
でも自前でマジッククオートと同じような処理は自前で結局はやる必要が最低限ある。
Re: (スコア:0)
ねーよ。SQLを動的に組み立てないでプレースホルダ使え。以上
「対策したつもりで大穴開けっ放し」なんてもののことを「最低限」とは言わん。
Re: (スコア:0)
magic quotes が効くのは所詮入力がブラウザ(UA)で、かつ出力がSQLの時だけ。
しかも行われるのはサニタイズだからちょっと文字列を加工した瞬間に危険な文字列になりえる。
もちろん、別途ファイルから読んできたデータなり、どこか(典型的にはネットワーク)からとってきたデータはすべて危険な状態。
中途半端に対応してるつもりになるくらいだったら最初から全部危険な文字列として取り扱った方が安全。
SQL組み立てる(プレースホルダやSQLビルダを含む)時にこの文字列は危険、この文字列は安全なんて識別するの無理でしょ。
Re: (スコア:0)
最低限って言葉の意味を理解できない人っていますね。
最低限だからそれにプラスしてほかに持って理解できないあたりもうだめですね。
Re: (スコア:0)
なぜマジッククォートが批判され、削除されるようになったのか調べてはいかが?
それは有益であるならば削除されることはなかったでしょう。