Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

2022/02/16 398 users SQLインジェクション MySQL MySQLパッケージ

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こ... 続きを読む

PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

2021/12/20 170 users PHP 良い理由 何種類 方法

このエントリは、PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスクリプティング(XSS)の対策を行う際には「エスケープ処理」をしましょうと言われますが、その割にP... 続きを読む

複雑な WordPress のエスケープ関数を整理してみる – ミルログ

2017/07/11 42 users Echo WordPress エスケープ GET 関数

WordPress でセキュリティを考える時に大事なのは文字列のエスケープです。ただ、エスケープの関数だけでもかなりの数がありややこしいので、よく使うものをまとめてみました。 前提知識 the_* 関数と get_* 関数の違い 基本的に the_ 関数は get_ 関数を echo しているだけですが、一部の関数ではエスケープされて出力されています。 ですので安全面を考えると、 echo get... 続きを読む