SIOS "OSSよろず" ブログ出張所: WAF要らずのSQLインジェクション対策

今回は注目される脆弱性問題に関連して、SQLインジェクション対策をご案内いたします。 Webアプリケーションの脅威としてSQLインジェクションがあります。SQLインジェクションが可能な場合、データベースを操作される以上の脅威も発生します。WAFとはWeb Application Firewallです。Webアプリケーションの脆弱性を緩和させる目的に利用します。SQLインジェクションの緩和策としても利用されています。 ■ SQLインジェクションで可能な攻撃WebアプリケーションにSQLインジェクションが在ることで可能な攻撃は、データの窃盗・改ざんのみではありません。例えば、オープンソースのSQLインジェクションツールは以下の機能をサポートしています。 - データベースベースの検出： MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Micros

[mumincacao]

そんなの創り込める状況なら prepared statement 使うようにして根本から退治したほうがいいんじゃないかなぁ？ 改修不可なら他にも穴がありそうだし WAF 導入で・・・ （ーω【みかん

[ngyuki]

んん？ ロックアウトに労力を割くぐらいならプリペアドステートメントや識別子のエスケープの徹底に注力したほうがいいような気がするけど