797
4
徳丸浩ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè
http://www.tokumaru.org/d/20080601.html#p01 本文へ
(本文から引用)
SQLのエスケープ再考本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分に書かれているテキストが見当たらないのだ。このため、自分で書いてみようと思う。IPAの「安全なウェブサイトの作り方改訂第三版」ではSQLのエスケープについて以下のように説明されている。
1)-2 バインド機構を利用できない場合は、SQL 文を構成する全ての変数に対しエスケープ処理を行う 解説 これは、根本的解決 1) のバインド機構を利用した実装ができない場合に実施すべき実装です。
利用者から入力されるパラメータや、データベースに格納された情報などに限らず、...
この記事をクリップしたユーザー一覧
みんなのおすすめ商品(Amazon.co.jp)
|
|
|
|
|---|---|---|---|
彩雲国物語 暗き黄昏の宮 (角川ビーンズ文庫)34人がクリックしました
著者:雪乃 紗衣 |
のだめカンタービレ #23 (講談社コミックスキス)92人がクリックしました
著者:二ノ宮 知子 |
DVD付き限定版 のだめカンタービレ 第23巻 (講談社コミックスキス)43人がクリックしました
著者:二ノ宮 知子 |
他にもこんなクリップがオススメ
-
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」 本文へ
安全なプログラムにするにはサニタイズではなくセキュリティの事をよく考えてプログラムを書く事が必要。値を利用する際に危険にならない処置をする。 -
第1回 まずは「クッキー」を理解すべし:ITpro 本文へ
-
第1回 悪意のJavaScriptで情報が漏えい:ITpro 本文へZone-Hの事件ではXSSのぜい弱性が使われた / クッキーを盗み、Zone-Hサイト管理者のメール・アドレスあてにサイト管理用パスワードを再発行させ,これを盗んでページを改ざん
491同じサイトでクリップされている記事
-
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。
-
徳丸浩の日記 - TwitterのXSS対策は変だ - 本文へ
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか
