2006年04月09日

CGI::Session 4.12リリース

4月7日付で、CGI::Sessionの4.12がリリースされていました。

SECURITY: Fix possible SQL injection attack.

ということで、PostgreSQL、MySQL、SQLiteのような内部でSQLを使っている場合にはアップデートが必須なようです。

どうなっていたかを調べてみると、こんな風になっていました。

4.12以前はremove()メソッドで
my $sql = sprintf("DELETE FROM %s WHERE id='%s'", $self->table_name, $sid);
となっていて、$sid、つまりセッションIDにいたずらされていると危険でした。

4.12では、place holderを使うように修正されています。

ところで、4.10以降のバージョンではBSD系のOSにインストールしようとしたときに、make testでエラーになるようです。MacOS Xもダメでした。

なんでかな?本家MLでもすでに報告されているので、近いうちに修正されるとは思うけど…。
posted by はしもと at 13:54| Comment(0) | TrackBack(0) | Perl
この記事へのコメント

この記事へのトラックバック