ID非公開

2020/9/29 0:21

22回答

文字化けしました。

文字化けしました。 検索結果に、Let's go と入れたら、 一部「'」と表示されました。 これ、sqlの攻撃とみなされたのでしょうか??

ベストアンサー

0

これで、即、攻撃という扱いでは無いでしょう。 入力、入力の送信、何らかの処理(検索)、処理の返信、出力、といった、検索をする一連の流れのどこかで、サニタイジングの扱いに失敗をしてるだけでしょう。 SQLインジェクションなどに利用をされるかもしれない、コンピュータの内部での処理において、単なる文字ではなく、なんらかの意味がある「予約文字」を、意味の無い、影響を受けにくい文字に換える、サニタイジングをして居る中で、どこかで、ミスっていると。 本来ならば、変換・置き換えをされている文字は、エンドユーザに見せるべき、出力ではありませんからね。 でも、サニタイジングがされているのは、良しとしても、見せるべきでない見せ方をしてるのは、あまり、よろしく無いですね。 結果論としては、軽微なバグかもしれませんけど、攻撃者には、攻撃をするヒントを与えかねませんから、放置をして良いとは言えませんね。

ThanksImg質問者からのお礼コメント

そうでしたか。 回答ありがとうございました。

お礼日時:9/29 16:22

その他の回答(1件)

0

>これ、sqlの攻撃とみなされたのでしょうか?? SQLインジェクション対策として行われるのはシングルクォート「'」を「''」と二つ重ねることです。 「'」を「'」と数値文字参照形式に変換するのは、WEBページのクロスサイトスクリプティング対策です。 WEBページのクロスサイトスクリプティング 対策が、正しくされていないのでは無いでしょうか。 特殊文字をエスケープするのは、WEBページに出力するときに行うというのが鉄則なのですが、もしかして入力してデータベースに書き込むときと、出力するときで2重で特殊文字をエスケープしているような感じです。