SQLインジェクションもう一つ
老師です。
マルボロレッドさんの昨日のブログにあった「SQLインジェクション」について、タイムリーな記事がありましたので、一つご報告を。
クッキーに隠されたSQLインジェクション
ここでいうクッキーとは、食べ物とは違うものですが、Cookieと書き、お菓子のクッキーと同じスペルですねぇ。IT用語としてのクッキーの意味は、こちら を参照してください。
クッキーはセキュリティ上の問題になることが以前から指摘されているのですが、
Webアプリケーションでは便利な仕組みではありますので、結局のところ多用されているものと思います。
記事を読むと、なるほど、Cookieの内容については私自身、十分に注意を払ってこなかったかなと思います。
このような情報を読むと、「思い込み」は厳禁で、想像力、柔軟性を養うことが重要だなと思い知らされます。
SQLインジェクション
マルボロレッドです。
毎朝めざましテレビ
をみていますが今日のニュースで
「SQLインジェクション」についてやっていました。
直接の被害はウイルスの感染ですがデータベースを
利用した更新や管理の便利な動的なサイトのため
「SQLインジェクション」にて改ざんされたようですね。
ソフトウェアの開発をした事がある方であればSQL については
ほぼ常識として知られているキーワードですが逆にそれに
関連しない場合にはほぼ知られていないのかとは思います。
広く使われておりDBMSの代表的なソフトウェアとしては
Oracle Database
Microsoft SQL Server
PostgreSQL
MySQL
DB2
などが有名かと思います。
SQLインジェクションについては
IPA(情報処理推進機構) でも情報セキュリティ にて
SQL注入 として説明や対策がのっています。
検索してみると沢山の記事もありますので細かな説明
はしませんが他にもクロスサイトスクリプティング なども
ありますのでWEBアプリケーション開発を行う際には
常識の一つとして必ず一度は目を通しておくといいかと思います。
(自分も過去に開発を行った際にはセキュアプログラミング講座
WEBプログラマコース を参考にした事がありました。)
注意事項としてですがセキュリティホールであっても
不正アクセス自体は違法行為ですので試す際には
自分の管理下の機械に対してのみで行ってください。
WEB上のサーバーなど管理者の許可を得ないで
侵入を試みてはいけません。
鬼が笑う話
ご無沙汰しております『スフレーテ』です。
JGは1月に新年度を迎えるので、
そろそろ来年のことを考える時期になってきたよ。
JGのマネジメントは目標管理が軸になっているよ。
今までは会社⇒部門⇒個人といったトップダウンで
自己実現=会社の業績と目指していたんだ。
でも、今年からは会社≒部門≒個人にしたよ。
つまり
全ての目標を全員で考えることにしたよ。
誰だって
人に言われたことをやるよりも、自分で決めたことをやるほうが
力が入るからね。
だからみんなで『働きがいがあって世の中に役に立って儲かる会社』
を造るにはどうあるかを考えてみるよ。
日本経済をよくすることは難しいけど、
自分たちの会社を良くするには、
ちょっとした勇気を出せば出来るからね。