305
4
徳丸浩ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè 
http://www.tokumaru.org/d/20080601.html#p01 本文へ
(本文から引用)
SQLのエスケープ再考本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分に書かれているテキストが見当たらないのだ。このため、自分で書いてみようと思う。IPAの「安全なウェブサイトの作り方改訂第三版」ではSQLのエスケープについて以下のように説明されている。
1)-2 バインド機構を利用できない場合は、SQL 文を構成する全ての変数に対しエスケープ処理を行う 解説 これは、根本的解決 1) のバインド機構を利用した実装ができない場合に実施すべき実装です。
利用者から入力されるパラメータや、データベースに格納された情報などに限らず、...
この記事をクリップしたユーザー一覧
おすすめ商品(Amazon)
|
|
|
|
|---|---|---|---|
B’z880814人がクリックしました
著者:B’z |
らき ☆ すた (6) (角川コミックス)156人がクリックしました
著者:美水 かがみ |
F.S.S. DESIGNS 3 KALAMITY GODDERS:BOTH41人がクリックしました
著者:永野 護 |
他にもこんなクリップがオススメ
-
「アクセスするだけでキーロガーが仕込まれる」,IEの脆弱性を突くサイト:ITpro 本文へ
お気をつけ下さい…としかいいようがありません。 -
「取りあえず管理者アカウントで」という思考停止はもうやめよう − @IT 本文へrunas はセキュリティと利便性のトレードオフを高次でまとめるのに重宝するからね。安易に RunAs 系のサービスを止めちまえという自称 TIPS が溢れる光景というのはセキュリティを低下させているのよね。RunAs を止められるということはすべての作業を root で行うことを意味するから。
-
パスワードで保護されたExcelシートを解除するフリーのアドイン「Excel Password Remover 2008」 - GIGAZINE 本文へ
979同じサイトでクリップされている記事
-
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。
-
徳丸浩の日記 - TwitterのXSS対策は変だ - 本文へ
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか
69
