2012-11-30から1日間の記事一覧
さて.SQL文ですが,書き込まれたデータをいれるため,以下のように書いてました. sql = "insert into storytable values('%s', '%s');" % (name, story); まぁこれだと,story,つまり,ユーザが書いた文章の中にsqlを埋め込めば,簡単にinjectionできてし…
さて.SQL文ですが,書き込まれたデータをいれるため,以下のように書いてました. sql = "insert into storytable values('%s', '%s');" % (name, story); まぁこれだと,story,つまり,ユーザが書いた文章の中にsqlを埋め込めば,簡単にinjectionできてし…