asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件??社会
関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
開発者の人が生まれた時に親御さんが真っ先に教えていれば防げたわけですよ!
箸の持ち方教育のようにお子さんがこんなコーディングをしているところを見つけたら叱らなければいけません!
$result =& $db->query("SELECT * FROM UNK WHERE name = '".$_POST["name"]."'");「コラー!!!」