ScanNetSecurity

Django の Extract 関数および Trunc 関数にSQLインジェクションの脆弱性

Django Software Foundation が提供するWebアプリケーションフレームワークの Django には、日付操作用の Extract 関数 と Trunc 関数にSQLインジェクションの脆弱性が存在し、第三者に Django を利用して構築された Webサイト内のデータを改ざんされたり、消去されたりする可能性がある。
note

【実践!SQL】日付関数の基本:DATE_TRUNCで粒度を揃える

売上やアクセスログでは「今日基準で抽出」したり「月別に集計」したりすることがよくあります。 文字列処理で代用せず、CURRENT_DATE と DATE_TRUNC を使って粒度を明示するのがおすすめです。 今回は 時刻を含むTIMESTAMPデータ を前提に、2025年8〜9月の2か月分 ...
Excite エキサイト

Django の Extract 関数および Trunc 関数にSQLインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月12日、Django の ...
GitHub

test-time-hourly-trunc.sql

CREATE TABLE partman_test.template_time_taptest_table (LIKE partman_test.time_taptest_table_1234567890123456789012345678901234567890); ALTER TABLE partman_test ...
note

PostgreSQLのTips(SQL関連)

いろいろTipsを書き残しておきますが、8.4辺りの古い内容です。 今回はSQL関連です。多少役に立つと思います。 内部結合はOracleと同じ。 外部結合はJOINで書く。 ・t1 JOIN t2 ON t1.a=t2.a:内部結合 ・t1 LEFT [OUTER] JOIN t2 ON t1.a=t2.a:左外部結合 (Oracleなら where t1.a ...