2006-09-11 yohgaki's blog - PEAR DBのPostgreSQLドライバのセキュリティホール SECURITY 「PostgreSQLにアクセスする際に,str_replaceという関数で「’」と「¥」をエスケープしていた。「これはダメダメ」(大垣氏)。マルチバイト環境(特にシフトJIS)でこうした単純なエスケープをしてしまうと,SQLインジェクションが可能になるケースがある」というのの実例。
2006-09-11 VSUG サイト改ざん SECURITY Visual Studio User Group > フォーラム > VSUGサイトに関する重要なお知らせ サードパーティ製モジュールの脆弱性により、トップページを改ざんだそうです。