専門誌にもSQLインジェクション
「DBマガジン」という月刊誌があります。
http://www.shoeisha.com/mag/dbm/
一応データベースの専門誌とされている雑誌です。
若干の勉強意欲と、付録CD欲しさ*1に昔何冊か買いました。
とはいえほぼ未読状態で放置してたし、情報も古くなってる訳でいい加減処分したくなったので、一通り読んでから廃棄する事にしました。
その結果、
- DBマガジン2000/05月号→Access2000の特集ページで、SQLインジェクション発見。
- DBマガジン2001/06月号→PHPの解説ページで、SQLインジェクション発見。
……これ、一応専門誌ですよね?*2
「専門誌でこれなんだから、きっと昔の(多分今も)AccessやVBの解説書にはSQLインジェクション一杯詰まってたんだろうなー」とか思いました。
ちょくちょく高木浩光先生がPHPの解説でSQLインジェクション有ったら突っ込み入れてるけども、世のプログラマー全員が注意するようになるのって、後10年かかっても難しいんじゃないでしょうか?
ちなみに最近短期間だけプログラマの仕事をしてきたのですが、チームメンバーのほぼ全員が素でSQLインジェクションなコードを書いてました。*3
マトモに気をつけてたのはpochi-pともう一人だけでした。
ちなみにSQLインジェクションなコード書いた一人が「ここって給料安い(1500yen/h)ですよねー」とかほざいた時は、内心「お前が言うなお前が言うなお前が言うな……」状態でした。*4
きちんとしたプログラマは色々キツイですし相応の給料もらうべきですけど、何ちゃってプログラマに渡す給料は半分にしてどっかの介護職員に譲るべきじゃないかと思う今日この頃、次の仕事をどうすべきか悩んでます。
*1:JDKとかPostgreSQLとかMySQLとかOracle評価版とかSQLServer2000の評価版とか収録されてた。当時は自宅回線もナローバンドだったし。
*2:他のJavaで書かれたコードとかではPreparedStatement使ってました。個々のライターの技量によりけりでしょうが、当時の編集側はSQLインジェクションの問題意識が全然無かったって事ですね……。
*3:もちろんその対応は私がするはめになった。
*4:もちろんSQLインジェクションだけでプログラマの良否が決まる訳ではない。でもこの人は他でも色々困ったちゃんだった……。