hamada
bungu****@leo*****
2005年 2月 23日 (水) 10:51:55 JST
こんにちわ。 On Wed, 23 Feb 2005 10:36:19 +0900 田中裕之@グリニッジ <tanak****@green*****> wrote: > osCommerceにおいては、(int)による型キャストの変換は、ほとんどの > 部分で、SQLインジェクション対策として行われていると認識している > のですが、今回は、oIDが文字列であるがために、tep_db_input()で同様 > の対策を行っているのだと思います。 あ、addslashes()=tep_db_input()を噛ませてるのは、クエリ文字列のサニタイ ズなんですね。納得しました。 確かに'や"をエスケープせずにそのままクエリとして投げちゃうと、すげぇヤバ いクエリが作れちゃいますもんね。 (この辺をぱっと思いつけないのが当方のスキルの低さで…:^^;) ということで、(int)をただ撤去するだけじゃヤバいです。田中さんのご指摘通 り、tep_db_input()と置き換えて、文字列のサニタイズ処理を行なうようにして ください。>甲斐さん まぁ/adminは、.htaccess等で「知らないヒト一切お断わり」としとくのが基本 だと思う→/catalogに比べれば危険度低いですが、それでもサニタイズを怠って いいってことにはならないんで。 はまだ
