カテゴリ: MySQL

PostgreSQLカンファレンス2008

6月 3rd, 2008
PostgreSQL???????2008??????(6/6)???????? http://www.postgresql.jp/events/postgresql-conference-2008 ?????????????????????? ???? ??????? ??? ???? 4,000 ? ????????????????? ???? ??? 10,000 ? ???????????????????????????????????????… more »

投稿された Linux, Windows, PHP, PostgreSQL, Ruby, Java, MySQL, SQLite, Webシステム開発, Mac, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

誤解を招く記事 - LAMPセキュリティを強化する4つの方法

3月 14th, 2008
LAMPセキュリティを強化する4つの方法 http://enterprisezine.jp/article/detail/311 書いてある情報は有用な事も記載されていますが、偏狭な視点からの記述により誤解を招く記事になっていると考えられます。著者はセキュリティの専門家ではないようなので仕方ないかも知れませんが、間違った認識は有害です。 # 原本は読んでいません。もしかすると日本語訳にも問題があるのかも知れません。 実行できる最も重要な対策は、PHPを使わないことです。腐った… more »
Tags: lamp, mysql, perl, php, python, ruby, security

投稿された Security, PHP, Ruby, MySQL, Webシステム開発 | 永続的リンク永続的リンク | 1 フィードバック »

文字エンコーディングを利用したSQLインジェクション

1月 19th, 2008
PHPのSQLインジェクションを実体験 http://www.thinkit.co.jp/free/article/0801/5/2/ を書かせて頂きました。この文字エンコーディングを利用した攻撃は古い脆弱性です。知っている方なら2年以上前からよくご存知とは思います。 記事のタイトル通り、文字エンコーディングを利用したSQLインジェクションを実体験できます。ご興味のある方、まだご存知でない方はぜひご覧ください。 万が一、文字エンコーディングベースの攻撃に未対策で攻撃される可能性のある方は… more »

投稿された Security, PostgreSQL, MySQL | 永続的リンク永続的リンク | フィードバックを送信 »

FreeBSD7はPostgreSQL, MySQLユーザにとって救いになるか?

1月 14th, 2008
http://people.freebsd.org/~kris/scaling/7.0%20Preview.pdf にFreeBSD7上でのPostgreSQLとMySQLのベンチマークが載っています。 PostgreSQL 8.2.4 - 11ページ ピーク性能でおよそ5400transactions/secほど。 MySQL 5.0.45 - 15ページ ピーク性能でおよそ3800transactions/secほど。 Kernelの主要な部分すべてがパラレルに動… more »

投稿された PostgreSQL, MySQL | 永続的リンク永続的リンク | 1 フィードバック »

WordPress Charset SQL Injection Vulnerability

12月 12th, 2007
http://www.securiteam.com/unixfocus/6N00D0AKKM.html に解説されている脆弱性は基本中の基本です。 Most database query in WordPress uses escape() method to sanitize SQL string, which is essentially filtering input via addslashes() function. However addslashes() fails to co… more »

投稿された Security, PHP, PostgreSQL, MySQL | 永続的リンク永続的リンク | フィードバックを送信 »

MySQL5.0.51では不十分

12月 11th, 2007
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5968 によるとMySQL 5.1.23には脆弱性ありその概要は以下とされています。 Overview MySQL 5.1.x before 5.1.23 might allow attackers to gain privileges via unspecified use of the BINLOG statement in conjunction with the binlog filen… more »

投稿された Security, MySQL | 永続的リンク永続的リンク | フィードバックを送信 »

簡単なベンチマーク

10月 11th, 2007
最近のPostgreSQL, MySQL, SQLiteのパフォーマンスはどうかな?と言うことで非常に簡単なベンチマークをしてみました。 デフォルト状態のデータベースに郵便番号データ(12万件とちょっと)をINSERTしてみました。フラグを除く全てのフィールドをテキスト型として定義し、全てのフィールドを挿入しました。旧番号と現行番号にインデックスを付けています。スクリプトはPHPで記述し、DBが動作しているPC上からPHP 5.2.4で実行しました。1レコードが分割されている場合などは無視して挿入… more »

投稿された PHP, PostgreSQL, MySQL, SQLite | 永続的リンク永続的リンク | フィードバックを送信 »

SET NAMESは禁止

8月 22nd, 2007
MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。 Ruby on Railsの本を読んでいて、ActiveRecordを説明している部分にMySQLの文字エンコーディングを変更する場合の例としてSET NAMESが… more »

投稿された Security, PHP, PostgreSQL, Ruby, MySQL, Webシステム開発 | 永続的リンク永続的リンク | 16 フィードバック »

PHP 5.2.3リリース

6月 5th, 2007
日本語環境でMySQLを利用している方には、リリースノートに記載されているmysql_set_charset()の追加に重要な意味がある方も多いと思います。 Added mysql_set_charset() to allow runtime altering of connection encoding. PHP4にはまだ追加されていませんがかなり重要なセキュリティフィックスだと思います。mysql_set_charset()はlibmysqlのmysql_set_character_se… more »

投稿された Security, PHP, MySQL | 永続的リンク永続的リンク | フィードバックを送信 »

SQLインジェクションカンニングシート

3月 19th, 2007
XSSに比べSQLインジェクションは非常に簡単に防げる脆弱性ですが、まだまだなくなりません。 SQL Injection Cheat Sheetが公開されています。 http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/ XSS Cheat Sheatと同じような形式になっています。PostgreSQL、MySQL、MS SQL Server、Oracle、その他と攻撃可能なDBMSもわかるようになっています。 more »

投稿された PostgreSQL, MySQL, Webシステム開発 | 永続的リンク永続的リンク | フィードバックを送信 »

1 2 >>