JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2008年12月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 今年のBlack Hat Japanには、はせがわようすけ氏が「趣味と実益の文字コード攻撃」と題して講演され話題となった。その講演資料が公開されているので、私は講演は聞き逃したが、資料は興味深く拝見した。その講演資料のP20以降には、「多対一の変換」と題して、UnicodeのU+00A5(通貨記号としての¥)が、他の文字コードに変換される際にバックスラッシュ「\」(日本語環境では通貨記号)の0x5Cに変換されることから、パストラバーサルが発生する例が紹介されている。 しかし、バックスラッシュと言えばSQL
はてなブックマーク全文検索機能の裏側
そろそろ落ち着いて来たころ合いなので、はてなブックマーク全文検索機能の裏側について書いてみることにします。 PFI側は、8月ぐらいからバイトに来てもらっているid:nobu-qと、id:kzkの2人がメインになって進めました(参考: 制作スタッフ)。数学的な所は他のメンバーに色々と助言をしてもらいました。 はてな側は主にid:naoyaさんを中心に、こちらの希望や要求を聞いて頂きました。開発期間は大体1〜2か月ぐらいで、9月の上旬に一度id:naoyaさんにオフィスに来て頂いて合宿をしました。その他の開発はSkypeのチャットで連絡を取りながら進めてました。インフラ面ではid:stanakaさん、契約面ではid:jkondoさん、id:kossyさんにお世話になりました。 全文検索エンジンSedue 今回の検索エンジンはSedue(セデュー)という製品をベースにして構築しています。Sedu
平々毎々 (Hey hey, My my) | JavaのいろんなORMのクエリとLINQを見比べる
はてなダイアリーに移動 Java屋さんとC#屋さんの両方向け。Java屋さんは「へー、LINQってこういうことなのね」と思ってくれれば。C#屋さんは「へー、ORMっていろいろあるんだね」と思ってくれれば。 (追記)CayenneとActiveObjectsを入れておけばよかったかな。 Criteriaクラスを使う (Torque) Torqueの場合、問い合わせは各エンティティのPeerクラスに対して行う。Criteriaクラスで条件指定。Criteria.CUSTOMを使えば条件部を文字列で書ける。あと、Criteriaを使ってJOINもできる。 ただ、いわゆる「流れるようなインターフェース」ではないので、コードが少々めんどくさい。 Criteria criteria = new Criteria(); criteria.add(EmpPeer.EMPNO, (Object)"9
[SQLSERVER]SELECT COUNT() の高速化
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
MySQL 5.1 GA登場、しかし開発者は苦渋のようす | エンタープライズ | マイコミジャーナル
MySQL 27日(米国時間)、5系の最新版にして初の製品品質となるMySQL Server 5.1 GAが発表された。MySQL 5.1初の製品品質レベルリリースとされており、製品システムにおいて広く採用が進められるバージョンとなる。5.0系を採用している場合にはアップグレードを検討したいバージョンだ。 MySQL 5.1自身は2008年夏前にある程度実装も仕様も固まっていたが、MySQLの創設者にして開発者であるMichael Widenius氏はMySQL 5.0 GAのときと同じ過ちを繰り替えしたくないとし、GAとしてのリリースを延期してきた。ブログでGAリリースへ向けた試験が呼びかけられてから4カ月強、MySQL 5.1は製品品質レベルに達したと判断された。 MySQL 5.1 GAにおける新機能はこれまで発表されてきたとおり。 テーブルおよびリストのパーティショニング機能 列ベ
MySQLは金融システムに耐えうるのか?--NRIが評価
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます オープンソースのMySQLはミッションクリティカルなシステムでも十分に通用する。そのことを強く認識させられたのが、MySQL ユーザコンファレンス 2008での野村総合研究所(NRI) オープンソースソリューションセンターのセンター長を務める寺田雄一氏が紹介した金融機関向けシステムへの導入事例である。 基幹システムへのMySQL導入のポイント NRIはオープンソースソフトウェア(OSS)によって高品質な業務システムを構築するワンストップサービス「OpenStandia」を展開している。この日紹介されたのは、金融機関の基幹データベースとしてMySQLを活用した事例だ。資金管理や約定管理などを行うシステムであり、性能要件は200件/秒、デー
マイクロソフト、「SQL Server 2008」のRTM提供を開始
Microsoftは米国時間8月6日、データベースソフトウェアの最新版「SQL Server 2008」の開発が完了したことを正式に発表した。 今回の発表でMicrosoftは、SQL Server 2008の最終的なコードをRTM版(Release to Manufacturing:製造工程向けリリース)としてリリースしたと明らかにしている。 当初のリリース予定時期よりは遅れたものの、Microsoftは、「SQL Server 2005」のリリースから24〜36カ月以内に新バージョンを出荷するというスケジュールに沿うことができたと述べている。 SQL Server 2008には、無料の「SQL Server 2008 Express」から、最上位版の「SQL Server 2008 Enterprise」に至るまで、さまざまなエディションが用意されている。他のエディションとしては、「S
mixi Engineers’ Blog » Introducing the Drizzle Project
ここしばらく、水面下でBrian Akerを代表とするMySQL/SUNのエンジニアたちや、業界のオープンソースハッカーたちとMySQLをスリムダウンさせたマイクロカーネルRDBMSを開発していたのですが、本日アナウンスされたので、日本語でご紹介させていただきたいと思います。 Drizzleとは? Drizzleとは必要のないものは一切存在しない、最低限でパフォーマンス重視な「MySQLよりシンプルで、軽く、安定して、高速な」 MySQLのforkです。マイクロカーネルアーキテクチャを採用したので、必要のないものは後付けできる構成です。こういった目標もあり、現在、Drizzleの開発チームはMySQLをドラスティックにリファクタリングしています。 コミュニティベースのプロジェクト Drizzleで大事な事は、Drizzleはコミュニティベースのプロジェクトであるという事です。Montyのブ
mixi Engineers’ Blog » Tokyo Tyrantによる耐高負荷DBの構築
連休中はWiiのマリオカートをやりまくってやっとVR7000越えたmikioです。愛車はマッハ・バイクとインターセプターです。さて今回は、分散ハッシュデータベースサーバTokyo Tyrantでmixiの最終ログイン時刻を管理するようにした時の苦労話を書きます。 ログイン処理は負荷地獄 mixiでは、全てのユーザについて、各々の最終ログイン時刻を管理しています。「マイミクシィ一覧」や「お気に入り」などの画面で、友人が近い時間にログインしていてコミュニケーションがとりやすい状態にあるかどうか確認できるようにするためです。 mixiのほぼ全てのページはログインしないと見られないページなので、ほぼ全てのページにアクセスされるたびにログイン確認が行われます。したがって、最終ログイン時刻はほぼ全てのページにアクセスされる度に更新されることになります。mixiの中で最も重いデータベースのひとつとして「
MySQLとコミュニティの不協和音 ビジネスとオープンソースは両立しないか?
代表的オープンソースRDMSを保持するMySQLが、Sun Microsystemsに買収されたことは業界を大いに驚かせた。Sunは今年2月に買収を完了後、約束していたサポートを開始するなど、MySQL効果をアピールしている。だが、今月に入って、Sun/MySQLとオープンソースコミュニティの間に不協和音が生じている。発端は、MySQL製品の次期版について明らかになった内容だ。 Sunは4月14日~17日にカリフォルニア州で年次カンファレンス「MySQL Conference & Expo」を開催。今後の計画を披露した。ここで、Sun傘下となったMySQLが次期版「MySQL 6」についての発表を行い、最大の特徴となるオンラインバックアップ機能を、有料版の「MySQL Enterprise Server」のみで提供することを示唆した。 これを受け、コミュニティの不満が噴出すした。 MySQ
MySQL Conference 2008に行って来た - stanaka's blog
今年もMySQL Conference 2008に行ってきました。社内向けの報告資料と雑多なメモですが、よろしければ参考にしてください。 *1 概要 MySQLがSunに買収されて始めてのConference 8セッション並列で、OSCONの規模にだいぶ近い MySQLが扱うトラフィック量・データ量がどんどん大きくなってきており、それにどう追従するか、という観点の話が多い 買収の話とか "MySQL、新機能追加は有償版の「MySQL Enterprise」だけを対象に"というのは、かなりミスリーディングな記事 実体は一部のセキュリティ形の機能やnative storage engine-specific driverをMySQL Enterpriseとして出す、という話 Backup機能や、Falcon, Mariaといったストレージエンジンの開発では、Community ServerとE
米Sun、オープンソースDBのMySQLを買収へ
米Sun Microsystemsは1月16日(米国時間)、スウェーデンのMySQLを買収することで合意したと発表した。買収金額は総額約10億ドル。今年第3四半期か第4四半期に完了の見込み。Sunはこれにより、オープンソース戦略を強化する。 MySQLは、オープンソースのRDBMS「MySQL」開発元の未公開企業。「MySQL」はGNU GPLの下でソースコードが公開されており、Enterprise、Clusterなどのバージョンがある。同社は商用ライセンスの販売やサポートの提供などで収益を得ている。 SunはMySQLの買収で、自社Webプラットフォームを強化。MySQLはすでに、米Google、フィンランドNokia、米Facebookなどに採用されており、今後はSunが得意とする大企業への浸透を図る。 「MySQL」は、Linux、Apache、Perl/PHP/Pythonとあわせ
【速報】サン、オープンソース・データベース「MySQL」の開発元を10億ドルで買収
米サン・マイクロシステムズは米国時間の1月16日、オープンソース・データベース「MySQL」の開発元であるスウェーデンのMySQL ABの買収に合意したと発表した。買収総額は約10億ドルである。 MySQL ABの買収によって、サンは全世界で150億ドル規模のデータベース市場でのビジネスを拡大させる。さらに、ネット社会を支える第一のプラットフォーム・ベンダーや、商用オープンソース分野の最大の貢献者となることを目指す。 MySQLは、米グーグルのほか、米国第2位のSNS(ソーシャル・ネットワーキング・サービス)であるFacebookやSaaS(ソフトウエア・アズ・ア・サービス)ベンダーの米ライトナウ・テクノロジーズ、中国の最大手検索サイトである百度などで利用されている。同社の買収によって、サンはこれらの企業をはじめとするWeb2.0、Enterprise2.0の分野へのかかわりを深める。さら
テクノロジー : 日経電子版
電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign(東京・渋谷)だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き 中部電力が「情報銀行」参入へ 電力データを活用 [有料会員限定] 「情報銀行」説明会に200社 データ流通の枠組み始動
MySQLノウハウ
いろいろな本からメモってきたメモのメモ。出典を書いておくのを忘れた。思い出し次第補完するかも。 deleteのコストは高いので、無効化を示すフィールドを作ってupdateすべき slow query logに要注意 多くのエントリでほとんどのフィールドが同じ値を持つ場合はインデックスの効果が小さい →複合インデックスの効果が大きい 複合インデックスは指定の順番が大切。AとBという指定の場合、A単独でもインデックスの効果がある。逆は真でない。 インデックスが使われる場面は フィールド値を定数と比較するとき (where name = 'hogehoge') フィールド値でJOINするとき (where a.name = b.name) フィールド値の範囲を求めるとき (<,>,between) LIKE句が文字列から始まるとき (where name like 'hoge%') min(),
「MySQL,PostgreSQLとFirebirdの性能をユーザー会メンバーが徹底比較,判明...
「更新とJOINが多ければMySQL,シンプルなSELECT主体ならPostgreSQLが向いている。ストアド・プロシージャでシングル・コネクションならFirebirdは非常に速い」---6月23日に開催された「オープンソースカンファレンス2007.DB(OSC2007.DB)」で,各オープンソースDBのコミュニティのメンバーによる性能比較が披露され,従来の一般的なイメージとは異なる“意外な結果”が明らかにされた。 オープンソースカンファレンスは,オープンソース関連コミュニティが主催するイベントで,OSC2007.DBはデータベース関連のコミュニティが集まったイベントである。性能比較セッションを担当したのは,日本MySQLユーザ会の堤井泰志氏,日本PostgreSQLユーザ会の片岡裕生氏,Firebird日本ユーザー会の木村明治氏。「あくまでボランティアによる性能比較であって,最速,最新マ
「PostgreSQLは遅い」は本当か?:OSSデータベース比較 - CNET Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます LAMPやLAPPといった言葉が示しているように、オープンソースソフトウェア(OSS)での代表的なリレーショナルデータベース管理システム(RDBMS)といえば、「MySQL」と「PostgreSQL」だ。この2つのRDBMSは同等であるかのように思われているが、しかしPostgreSQLのユーザー団体「日本PostgreSQLユーザ会」で理事長を務める片岡裕生氏によれば、「PostgreSQLはあまり信用されていない」ということがあるそうだ。 「十分にチューニングされたMySQLとチューニングしていないPostgreSQLを比較したり、反対にチューニングされたPostgreSQLとチューニングしていないMySQLを比較したり、あるいは比
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.technobahn.com/news/2008/200804172000.html
更新があるシステムにはInnoDBを選ぼう。MyISAMを選択するならそれなりの理由が必要。それにInnoDBのパフォーマンスはそんなに悪くないよ。 || パフォーマンスチューニングBlog: インターオフ
banned interdit verboden prohibido vietato proibido