Security

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月16日 更新日:

22724469359_e9915d0da4_b

photo credit: Injection, Inject via photopin (license)

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

SQLインジェクションの脆弱性があるウェブアプリケーション運営主体やウェブサイトの性質を問わず、データベースを利用するウェブアプリケーションを設置しているウェブサイトに存在しうる問題です。個人情報等の重要情報をデータベースに格納しているウェブサイトは、特に注意が必要です。

根本的解決

  • (i)-a SQL文の組み立ては全てプレースホルダで実装する。
  • (i)-b SQL文の組み立てを文字列連結により行う場合は、エスケープ処理等を行うデータベースエンジンのAPIを用いて、SQL文のリテラルを正しく構成する。
  • (ii) ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない。

保険的対策

  • (iii) エラーメッセージをそのままブラウザに表示しない。
  • (iv) データベースアカウントに適切な権限を与える。

関連CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

セキュリティ

GnuPGでファイルを暗号化・復号する手順

USBメモリにデータを入れて持ち運ぶ場合、なんの対策もしていないと「USBメモリの紛失」がそのまま「データ流出」につながります。これを防ぐ1つ方法は、予めファイルを暗号化した状態で保存しておくことです …

PHP

PHPで baseタグを出力する(RPO対策)

PHPで baseタグを出力する方法について 説明します。

Web

ウェブブラウザのパスワード保存機能はサイトを限定して使う

目次1. はじめに2. ブラウザのパスワード保存機能利用方針(お勧め)3. ブラウザの設定と操作普段の設定一時的にパスワードを保存させる場合の操作4. おわりに 1. はじめに 最近のウェブブラウザに …

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグ サイバー攻撃ってなに?第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~ …

no image

クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: XSS attack on YouTube via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クロスサイ …