7月25日、「16 of 30 Google results contain SQL injection vulnerabilities」が公開された。
この記事は”php mysql email register”でググった結果をまとめている。
記事によると、検索結果30件のうち16件にSQLインジェクションの脆弱性があったという。
検索結果のチュートリアルやコードスニペットに、以下のようなコードがあることを意味している。
// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");
記事では検索結果を4つのステータスに分類して、それを表にまとめている。
スクリーンショット: https://waritschlager.de/sqlinjections-in-google-results.html
- SQLクエリのすべてのパラメータは、カテゴリー別にエスケープ
- 絶対に必要な場合にのみエスケープ
- エスケープはしているが、脆弱性あり
- エスケープロジックは一切なし
スクリーンショット: https://waritschlager.de/sqlinjections-in-google-results.html
表は検索結果順に掲載されていて、関係ない記事や有料のものは省かれている。
「個人的に一番印象に残っているのは、Googleの検索結果の大半がひどい品質だったことです。これらの検索結果のいくつかは、簡単に言えば、SEOに最適化された愚かなものでした」と述べている。
今TechFeedで注目の海外情報を紹介中!