2008年3月,SQLインジェクションによる大規模なWebサイト改ざん攻撃が話題となった。IBMのセキュリティオペレーションセンター(以下,SOC)では,その後も同様の攻撃を検知し続けている。この間,攻撃の傾向に大きな変化が見られた。また,この攻撃によって改ざんしたWebサイトからユーザーを悪質なサイトに誘い込む攻撃(誘導型攻撃)でも新しい内容が確認された。以下...
『 cocoaでmysqlだって。少し遠い将来役に立つかなあ。 』
『 unixドメインソケットなmysql接続でクライアントが接続に使うpathをどこで指定するか/database.ymlにsocket:パス/centosだと/var/lib/mysql/mysql.sockなので 』
実は最近ちょっとDBIx::Classぐりぐりしてたんですけど、かなりいい感じです。 次からプロジェクト組むときは Class::DBI じゃなくて DBIx::Class にしてみようかなってくらい。 てわけでちょっとずつ比較。チラシ裏モードで書きなぐり。 まず Class::DBI でのページング処理の問題について。 Class::DBI では Class::DBI::Pager が有名ですが、これは検索条件に該当するものを 全部 fetch してきた...
無料で使えるSQLインジェクション対策スキャナ トップ15(ホームページを作る人のネタ帳)フリーの SQLインジェクション スキャナー トップ15(うさぎ文学日記) なにやら、SQLインジェクションをスキャンしてくれるツールがあるようです。 SQLIer Sqlbftools SQL Injection Brute-forcer (.tar.gz) SQLBrute (.py) BobCat sqlmap: a blind SQL injection tool Absinthe :: Automated Blind SQL Injection SQL Injection Pentesting Too...
『 P_BLOGはPHP+MySQLベースのWeblogシステムです。通常のログ管理機能の他、ファイルダウンローダー、アクセス解析、フォーラムスタイルでも使えるコメント機能、トラックバック送受信機能、更 』
添付ファイルの指定例: files="c:\temp\aa.txt|abc.txt" ' 別名指定 files="c:\temp\aa.txt||application/octet-stream" ' Content-type 指定 files="c:\temp\aa.txt|abc.txt|application/octet-stream" ' 別名+Content-type 指定 例: svname = "c:\mailqueue" ' メールキューのフォルダ名 svname = "odyssey" ' SMTP サーバマシン名 svname = "host1.who.com/odyssey:25:60" ' ドメイン名 + SMTP サーバマシン名 ' + PORT + TIMEOUT mailto = "あのひとさん<xxxxx@xxxx.xxx>" ...
ネットワーク接続を有効化するには、「SQL Server セキュリティ構成」ツールを利用します。このツールは、SQL Server 2005 メニューの [構成ツール] サブメニューから起動できます。セキュリティ構成ツールを起動すると、次の画面が表示されます。リモート接続を有効化するには、[サービスと接続のセキュリティ構成] をクリックします。拡大図を見る[データベース エンジン] を展開...
翻訳許可を与えてくださったJohn Osborn氏とO'Reilly社に感謝します。 原文はこちらです。 間違い、その他コメントはこちらにお願いします。 アンダース・ヘルスバーグは1996年にマイクロソフトに転職し、初期はVisual J++とWindows Foundation Class (WFC) のアーキテクトとして仕事をした。 ヘルスバーグは現在Microsoft Distinguished EngineerかつC#のチーフアーキテクトであり、Microsoft .NET Frameworkを...
http://www.mysql.gr.jp/mysqlml/mysql/msg/9530 で話題になっていたように、 ver. 4.1以降、クライアント/サーバー間でキャラクターセットが自動的に 変換されるようになったことに伴い、多くの方が文字化けといった問題に 悩まされていたかと思います。 この点については開発側に改善を要求してきましたが、4.1.15にて "--skip-character-set-client-handshake" というオプションが導入されました。 http:...
バックアップするのが面倒なMySQLデータベースを自動的にバックアップできるようになるスクリプトです。 いくつものデータベースを一括でバックアップできます。1つのファイルとしてまとめてバックアップすることもできるし、各データベースごとに分けてバックアップすることもできます。バックアップファイルはgzipかbzip2で圧縮されているのでディスク容量も食いません。...
[1] Railsで開発を行う際にDBは必須だろう。簡易的なものであればSQLiteで良いが、これまでの経験では大抵MySQLが利用されている。 DB管理にはphpMyAdminや、GUIのDB管理ツールを利用してきたが、Rails上で一括管理できるこちらが便利そうだ。 今回紹介するオープンソース・ソフトウェアはRailsMyAdmin、Rails上のDB管理ソフトウェアだ。 [1] http://image.moongift.jp/intro3/RailsDBRailsMyAdmin_8FE9/23.png
(SQLite Control Center) を日本語化したものです.本家の SQLiteCC では対応していない SQLite3 のデータベースファイルも扱えます.
サイト内、どこでもリンクフリーです。 ご意見・感想・間違いの指摘などはメールまたはゲストブックへお寄せください。
躍進するローエンドなオープンソースデータベースに対抗しようと、Oracleが自社のデータベース製品の無償版のリリースを決めた。 Oracleでは米国時間1日に「Oracle 10g Express Edition(Oracle Database XE)」のベータ版を発表し、2005年末までに正式版の提供を開始する予定だ。学生や小規模な組織、Oracleデータベースをアプリケーションと連携させることのできるソフトウェアベンダーな...
I/Oボトルネックを発生させる原因を究明するには、SQL Serverの内部アーキテクチャを深く正しく理解する必要がある
」というトラックバックを頂いた。訪れてみると、オープンソースプロジェクトとして開発されている、「SQS SourceEditor」と「SQS MarkReader」というJavaアプリケーションが、Java Web Startの仕組みで配布されていた*1。 配布されている「SQS SourceEditor」を起動しようとすると、図1の警告画面が現れる。 図1: オレオレ証明書で署名されたJavaアプリケーション 「このコードをインストールお...
http://d.hatena.ne.jp/hoshikuzu/20060211#P20060211PHPSQLINJECTION セキュリティmemoにaddslashesよるエスケープ処理でSQLインジェクションが可能なるという記事を見つけました。 私のセミナーを聞いたことがある方は「addslashesによるエスケープ処理は止めましょう」と言っていた事を覚えているでしょうか? mysql_real_escape_string()やpg_escape_string()等のデータベース専用のエスケープ関数を使いましょう、...
『 SQLPowerInjectorisanapplicationcreatedin.Net1.1thathelpsthepenetrationtestertoinjectSQLcommandsonawebpage. 』
MySQLの演算子や関数について説明します。 なお、個人的に必要無いと思うものについては省略しています(笑)。 最初に MySQLでは、数値⇔文字列の変換は自動的に行われます。 SELECT 100 + '200' -> 300 SELECT 100 < '200' -> 1 (TRUE) SELECT 100 < '22' -> 0 (FALSE) 比較演算子 比較演算の結果は、1(TRUE) / 0(FALSE) / NULL のいずれかになります。 例を挙げます。 SELECT 1 = 1 -> 1 SELECT 1 = 3 -> 0 SELECT 1 = NULL -> NUL...
