第14回　減らないSQLインジェクション脆弱性 | gihyo.jp

暮らしカテゴリーの変更を依頼記事元:

gihyo.jp

44 usersがブックマークコメント

記事へのコメント7件

注目コメント
新着コメント

kana321 減らないSQLインジェクション脆弱性

2015/02/23 リンク

s_mori SQLインジェクション対策:mb_check_encoding関数→全てのパラメータを"文字列として"扱い、エスケープ処理→テーブル・フィールド名の指定はホワイトリスト方式

PHP
security

2009/06/18 リンク

Knoa 簡単なことをむずかしく書いているような気がしないでもない

2008/09/20 リンク

FTTH Postgresqlに限定しておいてこの内容？　／　あるver以降では、「standard_conforming_stringsをTrue」にし、「E''」構文を使わない、という条件で、「 ' をSQLエスケープ＝二重化」しておけば安全なはず。

# |ω・）……

2008/09/19 リンク

suVene 『すべてのパラメータを文字列として取り扱っているか』って、Indexとか無効になったりしね？ digitチェックじゃダメなん？つか、prepared でよくね。 / 『実際時々見かける間違いですが』あんまりみたことない。

sql
security

2008/09/18 リンク

n2s prepared statementにも落とし穴あり。あの例文、任意のテーブルを外部から指定可能にするなんてありえない。実在するとしたらキモいｗ

2008/09/17 リンク

ya--mada prepare()使えるようになってからだいぶ楽になったと思うんだけどなー。/こうゆう変な記事のせいでphpがdisられてるんだとしたら悲劇だな。

2008/09/17 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

第14回　減らないSQLインジェクション脆弱性 | gihyo.jp

SQLインジェクション脆弱性を狙った大規模な攻撃が繰り返し行われ、数万から数十万ページが改竄される事... SQLインジェクション脆弱性を狙った大規模な攻撃が繰り返し行われ、数万から数十万ページが改竄される事件が何度も発生しています。SQLインジェクションは簡単に対策できる脆弱性ですが、未対策のアプリケーションが多く利用されています。外部からの脆弱性の検出も容易であるため、現在でもWebアプリケーション脆弱性の代表的存在です。 SQLインジェクション脆弱性が無くならない理由には以下のようなものが考えられます。過去のコードやアプリケーションの再利用基本的なセキュリティ知識不足セキュアコーディングプラクティスの未実施コード監査の不在 SQLインジェクション脆弱性の発見だけを目的にコード監査を行うことはあまりありませんが、SQLインジェクション脆弱性のコード監査は比較的簡単です。MySQLモジュールまたはPostgreSQLモジュールを利用している場合を例に紹介します。本題に入る前にSQLイ