パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

6か月にわたりiCloudからロックアウトされている女性、名前は「True」」記事へのコメント

  • 二十年ぐらい前からSQLインジェクションやhtmlでのscripインジェクションなどが話題になってて入力文字列をそのままシステムで扱うのは禁止って初歩的な常識ができている。
    それなのにいまだにたびたびこういう問題が、しかも大企業のシステムで出てくるのは不思議でならない。
    わざと穴を作っていつでも侵入できるようにしてるとか陰謀論を考えたくなる。

    • by Anonymous Coward

      型指定とか暗黙の型変換とかプログラム言語的な問題でしょ。

      • by Anonymous Coward

        そういうのはソースコードに直接文字を書き込むときにしか起きないから、適当なエンコードかけておくだけで起きない問題だし意図しない変換がおきないようにそれをしておくのが普通だよ。

        • by Anonymous Coward on 2021年03月09日 17時41分 (#3991222)

          暗黙の型変換は普通変数内の値に対して起こるものだからソースコードに直接文字を書き込むときに起きるわけではないし、
          文字列変数内部の値をわざわざエンコードかけて保持しておくなんてめったにしないよ。じゃないと文字列操作や検索が面倒になる。

          親コメント
          • by Anonymous Coward

            型変換は普通変数内の値に対して起きるのではなく、変数に文字列を代入するときに起きる(どちらも同じようだけどまったく違い)。ソースコードは文字列だから代入される値も文字列で型変換が起きる。jsonへの書き出しなども同じ。
            エンコードは、文字列を代入するときに起きるから文字列をエンコードかけて代入時に変換されないようにしてしまう。変数内では型変換が起きないから一度読み込んだ後はデコードして扱う(エンコード値を保持するわけではない)。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...