気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
goruchanchan.hatenablog.comエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント6件
- 注目コメント
- 新着コメント
turanukimaru
Railsは良く分からないのだがSQLはプリペアドステートメントなのだろうか?ならばサニタイジングと書くべきではないし手作業でサニタイズしてるんだったらコードは投げ捨てるべきだ。サニタイズは具体性無さすぎる言葉
lifeisadog
SQLインジェクションしか読んでないけど、対策はプレースホルダで行うのが基本では?(https://www.ipa.go.jp/security/vuln/websecurity/sql.html)。それ以外の何かをやる必要がない、というか、やってはいけない
turanukimaru
Railsは良く分からないのだがSQLはプリペアドステートメントなのだろうか?ならばサニタイジングと書くべきではないし手作業でサニタイズしてるんだったらコードは投げ捨てるべきだ。サニタイズは具体性無さすぎる言葉
ockeghem
ところどころおかしい。例)OSコマンドインジェクションはエスケープで対策してはいけない。Railsセキュリティガイドを読みましょう https://railsguides.jp/security.html
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章... 安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
goruchanchan.hatenablog.com
goruchanchan.hatenablog.com
www.murc.jp
www.vogue.co.jp
blog.tinect.jp
anond.hatelabo.jp
ascii.jp
www.apple.com
zenn.dev/zenkigen_tech
note.com/sa1p
www.gizmodo.jp
www.itmedia.co.jp
tech.mirrativ.stream
www.watch.impress.co.jp
qiita.com/yosuke@github
chugakujuken-zero-ouen.pal-fp.com
2023/11/12 リンク