徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
【緊急インタビュー】SQLインジェクション攻撃に気づかない企業は山のようにある
7月6日、中国人留学生(27歳)が不正アクセス禁止法違反で逮捕された。「カカクコム」を含む14社のWebサイトから、52万件にのぼる個人情報を盗んだと見られている。その際に用いたのは「SQLインジェクション」と呼ぶ手口。この手口による被害は、企業Webサイトで急増している。その現状をラックの三輪信雄社長に聞いた。 Q SQLインジェクションによる攻撃が増えているのはなぜか。 A SQLインジェクションという手法自体は以前から知られているが、攻撃件数は2004年秋ごろから急増した。これは2004年10月ごろに、中国でSQLインジェクションを用いた攻撃用ツールが出回ったためだ。SQLインジェクション攻撃が可能な、脆弱性を抱えたサイトを調べるツールや、そういったサイトを簡単に攻撃できるツールなどが公開されたのだ。ツールの使い方さえ分かれば、Webサーバーの背後で動いているデータベースに不正なデー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
