794
4
徳丸浩ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè
http://www.tokumaru.org/d/20080601.html#p01 本文へ
(本文から引用)
SQLのエスケープ再考本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分に書かれているテキストが見当たらないのだ。このため、自分で書いてみようと思う。IPAの「安全なウェブサイトの作り方改訂第三版」ではSQLのエスケープについて以下のように説明されている。
1)-2 バインド機構を利用できない場合は、SQL 文を構成する全ての変数に対しエスケープ処理を行う 解説 これは、根本的解決 1) のバインド機構を利用した実装ができない場合に実施すべき実装です。
利用者から入力されるパラメータや、データベースに格納された情報などに限らず、...
この記事をクリップしたユーザー一覧
みんなのおすすめ商品(Amazon.co.jp)
|
|
|
|
|---|---|---|---|
とある科学の超電磁砲 4―とある魔術の禁書目録外伝 (電撃コミックス)58人がクリックしました
著者:鎌池 和馬 |
きのう何食べた? 3 (モーニングKC)34人がクリックしました
著者:よしなが ふみ |
NARUTO (巻ノ48) (ジャンプコミックス)4人がクリックしました
著者:岸本 斉史 |
他にもこんなクリップがオススメ
-
ファイル名は「左から右に読む」とは限らない?! − @IT 本文へ
制御文字RLO(Right-to-Left Override)を利用したファイル名偽装の話 -
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」 本文へ安全なプログラムにするにはサニタイズではなくセキュリティの事をよく考えてプログラムを書く事が必要。値を利用する際に危険にならない処置をする。
-
第1回 悪意のJavaScriptで情報が漏えい:ITpro 本文へZone-Hの事件ではXSSのぜい弱性が使われた / クッキーを盗み、Zone-Hサイト管理者のメール・アドレスあてにサイト管理用パスワードを再発行させ,これを盗んでページを改ざん
51
488同じサイトでクリップされている記事
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか -
徳丸浩の日記 - TwitterのXSS対策は変だ - 本文へ
-
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。
