プロぐらまの独り言

SQLインジェクションって言葉ご存知ですか？

WEBアプリ開発者なら常識なのかもしれません。

恥ずかしながら私は先ほど初めてこの言葉を知りました。

ネットで調べ物をしてたときに引っかかりました。

どういうことかというと、ログイン画面のチェックロジックが以下のようなSQLになっていた場合、

SELECT * FROM user WHERE userid='" & userId & "' AND password='" & password & "'"

ユーザ名、パスワード欄に「' OR 'A'='A」と入力すると、実行されるSQL文は、

SELECT * FROM user WHERE userid='' OR 'A'='A' AND password='' OR 'A'='A'となります。

このSQL文だと、WHERE句に指定した条件が変わってしまい、ログイン可能となってしまいます。

さらに、ユーザIDが分かっていれば、普通のログインとなんら変わらない状態でシステムが利用可能状態となりますので、ログインチェックの意味がなくなります。

こういったSQLの差込をすることをSQLインジェクションというらしいです。

実装によっては、DELETE文やUPDATE文も差し込める可能性があります。

何でも以前のカカクコムの情報流出事件は、この方法が使われたとか？

SQLインジェクションができるってのは、明らかにシステムのバグで、原因がはっきりすれば、作った側にも責任が生じるんじゃないかと思います。

私は、今まで外部に公開しない、社内専用の業務システム開発がほとんどでしたので、あまり気にしたことが無く、ログインロジックは実装するものの、実運用ではユーザが１種類しかなかったり、パスワードを設定していなかったり、ユーザ名とパスワードが同じだったりと、作る側も、使う側もセキュリティをあまり意識していなかったので、多分今まで作ったシステムの中にもこの手法が使えてしまうものがあるような気がします。

SQL文を入力欄に書くなんてテストはやっていませんし。

ちょっと気になって、今作っているシステムのログイン画面で、

同じように入力してみたところ・・・ログインできてしまいました！！

まぁ、今作っているシステムは、ログイン画面どうこう以前に、URL直書きすれば好きな画面を直接開けてしまったり、重要な引数をQueryStringで渡していて丸見えなので、セキュリティなんて無いに等しいのですが。

もっと真剣に考えていかなければいけません。

まだまだ勉強不足です。

• 
• 
• ツイート

私のPCにはMSProjectはインストールされていないのですが、たまにMSProjectで作成された工程表がメールで送られてくることがあります。

他のオフィス製品はビューワソフトをマイクロソフトが提供していますが、Projectのビューワは提供されていません。

そこで、少し探してみました。
以下のサイトで紹介されていました。
PC珍道中（MSプロジェクト）

結構いろいろあるようですが、どれも有料です。
上のサイトでも良いとされていたソフト(無料です)、HighlyDeveloped Projette を使ってみました。
動作には、.NET Frameworkが必要です。

ためしに実際に使っているファイルを開いてみましたが、日本語表示もできるし、ガントチャート表示も問題ありません。
それ以外の表示はまったくできないのですが、パッと見るくらいであればこれで十分です。

一度お試しあれ。

• 
• 
• ツイート

最近OUTLOOK(2000)を使っていて、メールの返信をしようとすると件名欄に「返:」と表示されるようになってしまいました。

転送をすると「転送:」と表示されます。


そんな設定をした覚えはなく、直し方も分からなかったのですが、先ほど調べていてやっと直りました。

１．ツール－オプションからオプションダイアログを表示し、メール形式タブを選択します。
２．文字設定オプションボタンを押し、文字設定オプションダイアログを表示します。
３．返信/転送時に英語のメッセージヘッダーを使用するチェックボックスをONにします。

これで、返信時にはRE: 転送時にはFW:と表示されるようになります。
日本人なので別に「返:」と表示されても問題はないはずなのですが、なんとなくかっこ悪いです。

逆にもしOutlookを使っていて「返:」にしたい方がいらっしゃいましたら上記のチェックボックスをOFFにすればOKです。

• 
• 
• ツイート

 

最近、EXCELアドインの作成に凝ってまして、このたび、Vectorに作成したアドインを登録しました。

Excel ヘッダ/フッタ一括設定アドイン

 

たいしたものではないんですが、これは、Excelでヘッダ／フッタの設定を複数シートに対して一度に行うものです。

別にこんなものを使わなくてもExcelの標準機能で出来るのですが、

シートごとに縦横スペースなどの設定を別々に行っている場合、

複数シートを選択した状態でのヘッダフッタの設定を行ってしまうと、

ヘッダフッタ以外の印刷設定情報までが同じになってしまいます。

 

とても面倒だったのでこのようなものを作ってみました。

 

詳細設計書などいろんなサイズのシートが混在しているような、

本当はおかしな書式の設計書などを印刷するときに使えるかなと思っています。

 

このアドインではヘッダとフッタのみの設定を複数シートに対して行います。

ちょっと手抜きをしていまして、ヘッダフッタのフォント設定は、Excel標準機能のように

ダイアログでは行うことが出来ません。

 

要望があれば機能追加するかもしれませんが、

仕様書の場合、そんなに高度な書式設定はしない（自分が）ので、今のところはこのままです。

 

 別の使い方としては，このアドイン、現在開いているブックをすべてツリー表示しますので、

シートが異常に多いDB定義書などを参照する時に、このアドインから見ると多少わかりやすくなると思います。

 

シート名をダブルクリックすればそのシートにジャンプできます。

もしよかったらあなたのExcelにアドイン追加してやってください。

 

致命的な問題点、要望などありましたらご連絡を。

• 
• 
• ツイート

3月末で、VisualBasic6.0の通常サポートが終了するんですね。

VB6にはお世話になっているので、なんとなく寂しいです。
まぁ、もうすぐVS.NET 2005も出る事だし、いいかげんに移行しなさいってことなんでしょうね。

でもまだ、.NET Frameworkをインストールしているユーザさんはあまりいないので、配布する時にインストールしてねって言うのが面倒です。
余計なものインストールするのに変な抵抗を持ってるユーザさんいるんですよね。

VB.NETも勉強しなければ！

http://www.microsoft.com/japan/msdn/vs_previous/vbasic/prodinfo/vb6support.htm

• 
• 
• ツイート

以前、窓の杜で紹介されていたHDDLifeというソフトを使ってみました。

HDDの健康度が分かるらしいです。
実際使ってみると、職場のPCでは91%をマーク!!
自宅のPCでは50%でした。

何を基準に判断してるのか分からないですが、数値で分かるのはいいですね。

３０％以下になった場合ってHDDの状態はどんななんでしょう。

大事なデータを入れている人は、この数値を目安にHDDを買い換えるといいかもしれません。


http://www.forest.impress.co.jp/article/2005/02/10/hddlife.html

• 
• 
• ツイート

ずっと前から愛用している秀丸エディタにバージョン5が出ています(β版）

テキストエディタでこれ以上何を機能アップするのかと入れてみましたが、これまたテキストエディタとは思えないような機能が満載です。

大きなところでは、段組や縦書き編集機能などがありますが、自分が気に入ったのは、1行おきに背景色を変えれる機能です。

CSVなどのデータの羅列を眺める時にとっても見やすくなりました。

まだまだ使いこなしていませんが、しばらく秀丸エディタにはお世話になりそうです。

• 
• 
• ツイート

今日の予定を管理するソフトがないかと模索しているときに見つけた、スケジュール管理ソフトです。

まだβ版で、バグもあるのですが、画面がきれいでなかなか使いやすそうです。

しばらく使ってみて、使い勝手を試していきたいと思います。

http://ospage.jp/soft/osschedule/osschedule.html

• 
• 
• ツイート