タグ

SQLとSQL injectionに関するlamichのブックマーク (2)

  • SQLインジェクション対策 - イクケン

    イクス研究室、略して『イクケン』です。 株式会社イクスがお送りする プログラミング講座やニュースや雑談など。 寒い日が続いておりますが、みなさまは風邪などひいたりしていないでしょうか。ふじわらです。自分はひいてますが(ダメジャン)。 ソース等をまだ公開していないネットワーク付箋紙システムですが、セキュリティ強化策の第1弾として、とりあえずSQLインジェクション仮対策を施しました。といっても、大したことじゃないんですが。 そもそも、「SQLインジェクション」って何?ってところからお話しましょうか。 直訳すると「SQL注入」です。どういうことかというと、SQL文に、意図しない別のSQL文を注入し、設計者が想定していない結果を取得、更新してしまうことです。 具体的にどういうことなのか、簡単な例を挙げると、来「SELECT * FROM table WHERE key='(入力値)'

  • 2008年に入って攻撃急増,原因は攻撃手順の自動化

    2008年3月以降,「SQLインジェクション」という手法を使ったWebサイトの改ざんが相次いでいる。ラックのセキュリティ監視センター(JSOC)によると,ここ数カ月でSQLインジェクション攻撃の検知数が爆発的に増加し,8月には過去最高の17万件に達した。 多くのWebサイトでは,ユーザーの入力値などに応じて動的に表示を変える。Webサーバーはユーザーから受け取った入力値を,Webアプリケーションを通じてデータベースに引き渡す。データベースは,入力値に応じて必要な処理を実行し,その結果,得られた値をWebアプリケーションに戻す。Webアプリケーションはデータベースの出した値を反映したHTMLデータを生成し,Webサーバー経由でユーザーのWebブラウザに表示させる仕組みだ。 一連のSQLインジェクション攻撃では,攻撃者がWebサーバーへの入力値に不正なSQLを挿入することで,データベースを操作

    2008年に入って攻撃急増,原因は攻撃手順の自動化
  • 1