2005年03月16日(Wed) 朝寒いよ [長年日記]
● [memo] セキュアなプログラマー:安全にコンポーネントを呼ぶ
IBM dw。コンポーネントが文字を「解釈」する場合には、コンポーネントを呼ぶ側が、コンポーネントが意図どおりに文字を解釈するように細心の注意を払わないといけない、ということかな。
Cではsystem(3)、フォーマット文字列が定数ではないprintf(3)は危険、システムコールなどの戻り値をちゃんと評価しないといけない。Perlのopen()も危険。
SQLではクエリーが想定した範囲に収まってるか厳密にチェックしないといけない。そういえば、最近、WWWブラウザから(独自に拡張した)SQL文をユーザーに直接編集させて、それを実行するアプリケーションを見たのですが、こういう場合にはデータベース側でチェックをしてるんでしょうか。なんだか怖いような気もするね…。
(追記)タイトルのリンクがtypoで有効になっていなかったのを直しました。あほー。
● 前の家のsecurity depositeが返ってきた
ずいぶん引かれている。最後の月の家賃はその前の月の家賃と一緒に払っておいたにも関わらず二重取りされている。延滞金までついて。入居前に修理させたドアはもう一度修理してその料金も引かれている。
まだまだ不動産屋と交渉しなくちゃいけない。うんざり。
[ツッコミを入れる]
![[FSF Associate Member]](/p/171619.png){kind=small}
最近のツッコまれどころ