Heuristic SQL Injection Detection for Suhosin
だそうで。
Suhosinの次期リリースは来年の一月初頭を目標にしているそうな。
変更点は(まだ)確認できていないけど、今のところMySQLだけ?
っていうか、SuhosinのCVS(とかスナップショット)は何処にあるのだろうか。
Hardeningにはあるのに。。。これじゃ変更点を追えない。
今のところ検出するのは、
- コメント文が入っているクエリ
- コメント文が閉じられていないクエリ
- UNIONが入っているクエリ
- 複数のSELECT文があるクエリ
くらい?ちょっとやりすぎな感じがする。そもそも対象DBのバージョンが古過ぎるような気が。
ヒント句を指定しないと(まともに)INDEXを使ってくれない某DBは適用できそうにないし、それ以前にサブ・クエリやUNIONをサポートしているDBは使えそうにないし。
依存する(現実から逃げて成長しようとしない)人を増やす事になりかねないので、こういうアプローチは好きではない。