はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ エスケープ処理

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 8 / 8件)
 

マイナンバー保険証のヤバさが露呈したけど、障害者手帳アプリもヤバさを孕んでいると思う

2023/05/16 このエントリーをはてなブックマークに追加 33 users Instapaper Pocket Tweet Facebook Share Evernote Clip ヤバさ 障害者手帳アプリ バックスラッシュ ミライロID 通信

ミライロIDっていう障害者手帳アプリがあるんだけど、アカウントのパスワード文字列にバックスラッシュが含まれるとエラーを吐くんだよね 使用できない文字が含まれていますとかではなく、通信に失敗しましたって感じの たぶんエスケープ処理がうまくいってないんだと思う。 障害者手帳大流出祭りが楽しみだ 続きを読む

Gormにおける「仕様通り」なSQLインジェクションの恐れのある実装についての注意喚起 - ANDPAD Tech Blog

2022/02/18 このエントリーをはてなブックマークに追加 162 users Instapaper Pocket Tweet Facebook Share Evernote Clip gorm MySQL tomtwinkle 実装 原田

ANDPADボードチームの原田(tomtwinkle)です。 Node.jsの mysqljs/mysql の仕様に起因するSQLインジェクションが話題に上がっていたので、それGolangのORMであるGormでも同じような「仕様」があるよ! という注意喚起の意味も込めて筆を執りました。 Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠... 続きを読む

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

2022/02/16 このエントリーをはてなブックマークに追加 398 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション MySQL MySQLパッケージ

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こ... 続きを読む

PythonでExcelのCSVファイルを扱う - Qiita

2016/02/08 このエントリーをはてなブックマークに追加 92 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita dialect Python Excel CSV

Pythonの csv パッケージは大変便利です。面倒なエスケープ処理をちゃんと行ってくれます。とりわけ、Excelファイルで送られてきたファイルを処理するのに重宝します。なんといっても、 dialect='excel' でExcel CSVをちゃんと読めます。 ところが、日本語が絡むと問題は途端に厄介になります。問題の本質は何か。まず、ExcelのTSVの扱いに関して、以下のことが知られています... 続きを読む

PHPのSmartyでサイニタイズする方法 | ITや技術やテクノロジーにアンテナはってみた

2015/12/01 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip Smarty コロン デフォルト HTML PHP

PHPのSmartyでサイニタイズ(サニタイジング)する方法 Smartyには、エスケープ処理の機能がありHTMLタグを適切にエスケープ可能 例)Smartyテンプレート {$value|escape:"html"} ←★これ htmlの箇所 で何をエスケープするかを指定 コロンの後に何をエスケープするか指定(デフォルトはhtml) 指定する場合は、以下のオプションを指定する それぞれどの文字をエ... 続きを読む

プログラミングコードをHTML内に埋め込む形に変換「HTMLify」|オープンソース・ソフトウェア、ITニュースを毎日紹介するエンジニア、デザイナー向けブログ

2013/05/27 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip 改行 MIT License ソフトウェア エンジニア 変換

HTMLifyはJavaScript製のオープンソース・ソフトウェア(MIT License)です。ブログやソフトウェアのプロジェクトページにプログラミングコードを貼付ける際、素のままでは改行やHTMLタグのエスケープ処理が行われずに変な表示になってしまいます。そこで使ってみたいのがHTMLifyです。 トップページです。上のテキストエリアにコードを入力します。 入力が終わったらHTMLifyボタ... 続きを読む

PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合(脆弱性)あり - 徳丸浩の日記

2011/03/22 このエントリーをはてなブックマークに追加 27 users Instapaper Pocket Tweet Facebook Share Evernote Clip PDO Shift MySQL 徳丸浩 文字エンコーディング

●PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合(脆弱性)あり PHP5.3.6からPDO/MySQLにてデータベースの接続文字列にて文字エンコーディングが指定可能となりました。この機能を検証した結果、Linux上では正常な動作を確認しました。Windows版でも一見動作するようですが、動的プレースホルダ内部のエスケープ処理に不備があり、Shift_... 続きを読む

適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT

2006/03/22 このエントリーをはてなブックマークに追加 107 users Instapaper Pocket Tweet Facebook Share Evernote Clip クロスサイトスクリプティング セキュリティホール 真人 安西

第1回 適切なエスケープ処理でクロスサイトスクリプティングに備える 安西 真人 三井物産セキュアディレクション株式会社 テクニカルサービス事業部 技術グループ Webセキュリティチーム エンジニア 2006/3/23 Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階... 続きを読む

 
(1 - 8 / 8件)