SQLインジェクション対策 - イクケン
イクス研究室、略して『イクケン』です。 株式会社イクスがお送りする プログラミング講座やニュースや雑談など。 寒い日が続いておりますが、みなさまは風邪などひいたりしていないでしょうか。ふじわらです。自分はひいてますが(ダメジャン)。 ソース等をまだ公開していないネットワーク付箋紙システムですが、セキュリティ強化策の第1弾として、とりあえずSQLインジェクション仮対策を施しました。といっても、大したことじゃないんですが。 そもそも、「SQLインジェクション」って何?ってところからお話しましょうか。 直訳すると「SQL注入」です。どういうことかというと、SQL文に、意図しない別のSQL文を注入し、設計者が想定していない結果を取得、更新してしまうことです。 具体的にどういうことなのか、簡単な例を挙げると、本来「SELECT * FROM table WHERE key='(入力値)'
2008年に入って攻撃急増,原因は攻撃手順の自動化
2008年3月以降,「SQLインジェクション」という手法を使ったWebサイトの改ざんが相次いでいる。ラックのセキュリティ監視センター(JSOC)によると,ここ数カ月でSQLインジェクション攻撃の検知数が爆発的に増加し,8月には過去最高の17万件に達した。 多くのWebサイトでは,ユーザーの入力値などに応じて動的に表示を変える。Webサーバーはユーザーから受け取った入力値を,Webアプリケーションを通じてデータベースに引き渡す。データベースは,入力値に応じて必要な処理を実行し,その結果,得られた値をWebアプリケーションに戻す。Webアプリケーションはデータベースの出した値を反映したHTMLデータを生成し,Webサーバー経由でユーザーのWebブラウザに表示させる仕組みだ。 一連のSQLインジェクション攻撃では,攻撃者がWebサーバーへの入力値に不正なSQLを挿入することで,データベースを操作
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
