Gormにおける「仕様通り」なSQLインジェクションの恐れのある実装についての注意喚起 - ANDPAD Tech Blog

2022/02/18 162 users gorm MySQL tomtwinkle 実装 原田

ANDPADボードチームの原田(tomtwinkle)です。 Node.jsの mysqljs/mysql の仕様に起因するSQLインジェクションが話題に上がっていたので、それGolangのORMであるGormでも同じような「仕様」があるよ！ という注意喚起の意味も込めて筆を執りました。 Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠... 続きを読む

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

2022/02/16 398 users SQLインジェクション MySQL MySQLパッケージ

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こ... 続きを読む

PythonでExcelのCSVファイルを扱う - Qiita

2016/02/08 92 users Qiita dialect Python Excel TSV

Pythonの csv パッケージは大変便利です。面倒なエスケープ処理をちゃんと行ってくれます。とりわけ、Excelファイルで送られてきたファイルを処理するのに重宝します。なんといっても、 dialect='excel' でExcel CSVをちゃんと読めます。 ところが、日本語が絡むと問題は途端に厄介になります。問題の本質は何か。まず、ExcelのTSVの扱いに関して、以下のことが知られています... 続きを読む

適切なエスケープ処理でクロスサイトスクリプティングに備える ― ＠IT

2006/03/22 107 users クロスサイトスクリプティング セキュリティホール 真人 安西

第1回 適切なエスケープ処理でクロスサイトスクリプティングに備える 安西　真人 三井物産セキュアディレクション株式会社 テクニカルサービス事業部 技術グループ Webセキュリティチーム エンジニア 2006/3/23 Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階... 続きを読む