MySQL 4.0以前にはSQLインジェクション問題はない
投稿日時 2006-6-10 11:08:40 | トピック: MySQL
| MySQL AB より、「先日より話題になっている SQL インジェクション問題は、バージョン 4.1 以降 にのみ存在するもので、4.0, 3.23 では問題がない」 とする趣旨の発表がなされました。
http://lists.mysql.com/announce/367
超・意訳すると、
今回の SQLインジェクション 問題は、マルチバイト文字セットを mysql_real_escape_string () を用いてパースする際に発生するものだ。
この機能は、バージョン 4.1 で導入されたものであり、 4.0 や 3.23 には影響を与えない。
なので、4.0, 3.23 を使っている人は、今回の件では何も修正する必要はない。
前回のリリースでこのへんをちゃんと説明していなかったので、(4.0や3.23で)長いこと問題を放置していたと思っちゃったひとがいたら、ごめんね。
---
以下原文:
this is in reply to various questions that have reached us after the
recent security fix, contained in MySQL 4.1.20, 5.0.22, and 5.1.11-beta:
The problem was a possible "SQL injection" risk, if the application sent
data using some multi-byte character sets, due to an incorrect parsing
in the server of strings generated by mysql_real_escape_string().
It had been introduced in 4.1 only, it does NOT affect any earlier
version (4.0 or 3.23).
As 3.23 and 4.0 never had this security risk, there is nothing to fix in
these releases.
We are sorry if anybody got the impression we were neglecting any such
security risk in older releases.
|
|