最近流行りの（違）SQLインジェクション

「クリエイティブメディアのサイト改ざん、SQLインジェクションが原因」

クリエイティブメディアが・・・というのは、まぁ、オマエもかーという程度でどうでも良いんですが（いいのか？(^^;）、最近こういうSQLインジェクションでサイト改竄ってのが流行ってますね。

あまりこの手の話に詳しくない人だと「え？SQLってデータベースの話でしょ？それが何でWebの改竄になるの？」という疑問を持つ人もいるかもしれないけど（ってか、とあるお客さんに聞かれた(^^;）、最近ではCMS（コンテンツマネージメントシステム）とかで、Webの中身をDBに置いておき、Webへのアクセスがある度にそれを読み出して動的にコンテンツを作成して返すという形になっている場合も多い。
そういうシステムに何らかの脆弱性があって、DBにナニか突っ込まれてしまうとWebで表示されるモノも改竄されてしまうという事が起こり得る。

というような話をすると「え？じゃあCMSってキケンぢゃん」という気がするかもしれないけど、Apacheなどのhttpサーバだって色々脆弱性がみつかってきたという歴史(^^;があり、最近ではかなり枯れてきたので、あんまりヒドいのはみつからなくなってるだけで、CMSも同じような経過を辿るんじゃないかな？と思います。
まぁ、直近の話で言えば、確かに静的なコンテンツをhttpdで配信するよりはリスクが高いというのは確かでしょう。

ま、そういうリスクの話は置いといて、このCMSというヤツ、ほとんど中身が変わらないのに毎回動的にページを作るってのが貧乏性の私としては(^^;イマイチ気に入らない。
まぁ、中にはキャッシュを持つような形で、再生成を減らすような工夫をしているモノもあるにはありますし、静的にページを作れるモノもありますが。

某静的データ配信サイトでは、こないだまで10万アクセス/day、10GB/day程度をPentiumIII 350MHz(メモリ384MB)で賄っていたが、これでもload aveが0.5とかその辺。（今はXenのDomain-Uとして別の早いヤツに移したけど）
同程度のアクセスをSQL DB+PHPとかのCMSで構築したサイトで捌こうとすれば、おそらくCPU2GHz、メモリ数GBとかになっちゃうだろう。
まぁ、最近新たに入手できるサーバであれば、この程度はふつーにクリアできる条件ではあるんだけど、じゃあ、こういうサイトを3つ作りましょうとか4つ作りましょうという話になれば、サイト数分だけサーバも必要という話になってくる。
これが全部静的データであれば、Xenで仮想化してもサーバ一台でお釣りが来るぐらいじゃないかなぁ？

いっそ動的生成CMSを法律で禁止すれば、かなりのCO2削減効果が・・・とか(^^;

それとは別に、URLがhttp://example.com/hogera.php?id=12345みたいになる物も多い。
これもキモチ悪い(^^;
rewrite使って書き換えすればhttp://example.com/hoge/hogera.phpみたいにできるものもあるけど、それはあくまでも見た目をゴマ化せるだけだしねぇ・・・

何かこの辺、CMSも発展途上という気がしないでもない。