SQLインジェクション

システムで想定外のSQLコマンドを実行する攻撃手法

例

例えば、変数whereに適切な条件が設定されることを想定して

statement = "SELECT * FROM table WHERE " + where + " ;"
db.execute(statement)

のようなスクリプトを作ったとします。

ここで、whereに

where = "name; DROP TABLE table;"

のような値が入っていた場合に、次のようなコマンドが実行されることになり、セキュリティ上のリスクとなるようです。

SELECT * FROM table WHERE name;
DROP TABLE table;

この手法は、入力（今の場合は変数where）を適切にエスケープすることで回避可能なようです。

PythonでSQLiteを使う場合は、文字列操作でSQLコマンドを作らないで、次のようにした方が良いそうです。

db.execute("SELECT * FROM table WHERE name=?", (name,))

Gitのユーザー名とメールアドレスを設定するコマンド

$ git config user.name "yourname"
$ git config user.email "[email protected]"

$ git config --global user.name "yourname"
$ git config --global user.email "[email protected]"

$ git config user.name
yourname

$ git config user.email
[email protected]

viで文字コードを指定してファイルを保存するには

:set fenc=utf-8

のようにします。

逆に、文字コードを指定してファイルを開くには

:e ++enc=euc-jp

のようにします。