Security

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月16日 更新日:

22724469359_e9915d0da4_b

photo credit: Injection, Inject via photopin (license)

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

SQLインジェクションの脆弱性があるウェブアプリケーション運営主体やウェブサイトの性質を問わず、データベースを利用するウェブアプリケーションを設置しているウェブサイトに存在しうる問題です。個人情報等の重要情報をデータベースに格納しているウェブサイトは、特に注意が必要です。

根本的解決

  • (i)-a SQL文の組み立ては全てプレースホルダで実装する。
  • (i)-b SQL文の組み立てを文字列連結により行う場合は、エスケープ処理等を行うデータベースエンジンのAPIを用いて、SQL文のリテラルを正しく構成する。
  • (ii) ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない。

保険的対策

  • (iii) エラーメッセージをそのままブラウザに表示しない。
  • (iv) データベースアカウントに適切な権限を与える。

関連CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

HTML Purifier の使い方

目次HTML Purifier についてComposerで使う方法1. composer.json の require に、以下を追記する2. composer update する3. 実際に使うHT …

no image

OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

目次1. www.owasp.org について2. 関係してそうなカテゴリーページ3. 脆弱性別対策ページApplication ArchitectureCross-site Scripting (X …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …

Web Security

CSP (Contents Security Policy) の記述例

目次記述例メモその他のメモ参考 記述例 デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security …

no image

セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「セッション管理の不備」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次セッションIDの推測セッションIDの盗用 …