「UNICORN」復旧作業中・・・
2004年8月5日 コンピュータ結局、セーフモード・ネットワークで起動して、
ネットワークを介して主なデータのバックアップを取り、
そして最初からインストールしてます。
まだまだ復旧までには時間がかかります。
・・・バックアップの取り忘れ、大丈夫かなぁ。。。
ネットワークを介して主なデータのバックアップを取り、
そして最初からインストールしてます。
まだまだ復旧までには時間がかかります。
・・・バックアップの取り忘れ、大丈夫かなぁ。。。
dblink でのサニタイズ
2004年8月5日 コンピュータ朝、出勤途中の自転車で。
近々リリースのシステムのことを考えていた。
漠然と、セキュリティの不安がまだあるなぁ。。。
・・・ボーっと考えていたらふと思いついた。
dblink で投げる query は文字列でつなげて作るわけだから、
サニタイズしていないと・・・・わぁ、見落としていたぁ。
頑張って直さないと。
PostgreSQL には文字のエスケープする関数が
ちゃんとあったよなぁ。。。
動的に SQL文を作る場面があるところは注意しないと。
MS SQL の openquery とかでも同様かな?
あと、PostgreSQL の場合は prepare してから
値を突っ込むってのが正しい回避法かも。
SQL文の動的生成は可能な限りさけるために。
---------------------
(平成18年2月3日追加)
2004年8月6日に続く
近々リリースのシステムのことを考えていた。
漠然と、セキュリティの不安がまだあるなぁ。。。
・・・ボーっと考えていたらふと思いついた。
dblink で投げる query は文字列でつなげて作るわけだから、
サニタイズしていないと・・・・わぁ、見落としていたぁ。
頑張って直さないと。
PostgreSQL には文字のエスケープする関数が
ちゃんとあったよなぁ。。。
動的に SQL文を作る場面があるところは注意しないと。
MS SQL の openquery とかでも同様かな?
あと、PostgreSQL の場合は prepare してから
値を突っ込むってのが正しい回避法かも。
SQL文の動的生成は可能な限りさけるために。
---------------------
(平成18年2月3日追加)
2004年8月6日に続く
コメントをみる | 
R.O.D〈第10巻〉
2004年8月5日 読書
う〜ん、これはひどいです。
パンドラの箱を開けたというか、
禁忌を侵した感じ。
締め切りが迫っているからって、
作者の状況をライブで中継しながら書く作品なんて、いけません。
SD文庫の「丸宝編集長」が「まるとみ」って読むことも知ってしまいました。
そんな作品です。
はっきりいっておもろいです。
禁忌を侵した今、もはや怖いものは無いって感じでいっちゃってます。
SD文庫の「R.O.D.」10巻の紹介(http://dash.shueisha.co.jp/whatnew/-rod/index.html)を
見ればそのいきっぷりが感じられます。
すごくよし。
