Gumblar 【ガンブラー】
参考
■ガンブラーに感染した■写真つき。偽セキュリティソフト「SecurityTool」入っちゃった。
カテゴリー: セキュリティー
セキュリティーに関するメモ
MD5破りにGoogleを活用
投稿日: カテゴリー IT, セキュリティーMD5破りにGoogleを活用にコメント
SET NAMESは禁止IPアドレス 自分のIPを調べる
MySQL キャラセット SET NAMESは禁止
MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。 SQLインジェクションに脆弱になる場合があります。
(略) ストアドプロシージャだけ使っていれば安全ですが、アプリケーションからDBMSの文字エンコーディングを設定する場合、SQL文ではなく必ず文字エンコーディング設定APIを利用するよう紹介しなければならないです。
(略) 脆弱性の説明は面倒ですが注意事項は簡単です。「DBMSをアプリケーションから利用する場合、文字エンコーディング設定は必ずAPIを利用する」つまり「SET NAMES(SET CLIENT_ENCODING等も)は禁止」です。
参考さぼてん