GitHub - nim4/DBShield: Database firewall written in GoYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
SQLインジェクション再現デモムービー:phpspot開発日誌
0-DAY - SIMPLE SQL INJECTION あるオープンソースのCMSのセキュリティホールを探る際のFlashムービー。 映画のイントロのように始まり、怪しげな音楽と共にムービーが再生される等、あやしい雰囲気たっぷりに作られています。 IRCチャットで依頼が始まり、ソースのDL〜grepしてSQLインジェクションの脆弱性を見つけ、実際にIDとpassを取り出すまで。 こういう手口で脆弱性が発見されるんだな、というのがハッキリと分かります。 もちろん、ソースなど見なくてもURLから類推したりその他のパターンも多数あると思いますが、オープンソースの場合はこんな感じでソースをgrepされたりするんでしょうね。 SQLインジェクション対策の参考に。
「2005年はSQLインジェクションや“Winnyウイルス”が脅威に」,セキュリティ白書
情報処理推進機構(IPA)は3月22日,2005年の情報セキュリティに関する“10大脅威”とその対策方法などをまとめた「情報セキュリティ白書2006年版」を公表した。それによると,「SQLインジェクション」の脆弱性(セキュリティ・ホール)を突いた攻撃や,ファイル共有ソフト「Winny(ウィニー)」経由で情報を流出させるウイルス(悪質なプログラム)などを,2005年の大きな脅威として挙げている。 同白書は,2005年中にIPAに報告されたウイルスや脆弱性情報などを基に,ベンダーや組織の専門家で構成される「情報セキュリティ検討会」によって検討され,まとめられた。 同白書では,2005年の“10大脅威”として以下の項目を挙げている。 事件化するSQLインジェクションWinnyを通じたウイルス感染による情報漏えいの多発音楽CDに格納された「ルートキットに類似した機能」の事件化悪質化するフィッシング
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SQL Injectionの仕組みと対策
