793
4
徳丸浩ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè
http://www.tokumaru.org/d/20080601.html#p01 本文へ
(本文から引用)
SQLのエスケープ再考本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分に書かれているテキストが見当たらないのだ。このため、自分で書いてみようと思う。IPAの「安全なウェブサイトの作り方改訂第三版」ではSQLのエスケープについて以下のように説明されている。
1)-2 バインド機構を利用できない場合は、SQL 文を構成する全ての変数に対しエスケープ処理を行う 解説 これは、根本的解決 1) のバインド機構を利用した実装ができない場合に実施すべき実装です。
利用者から入力されるパラメータや、データベースに格納された情報などに限らず、...
この記事をクリップしたユーザー一覧
みんなのおすすめ商品(Amazon.co.jp)
|
|
|
|
|---|---|---|---|
とある科学の超電磁砲 4―とある魔術の禁書目録外伝 (電撃コミックス)38人がクリックしました
著者:鎌池 和馬 |
きのう何食べた? 3 (モーニングKC)27人がクリックしました
著者:よしなが ふみ |
ブラック・ラグーン 9 (サンデーGXコミックス)71人がクリックしました
著者:広江 礼威 |
他にもこんなクリップがオススメ
同じサイトでクリップされている記事
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ
> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか -
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。
-
徳丸浩の日記 - TwitterのXSS対策は変だ - 本文へ
400
