ニュースリリース | セキュリティ対策のラック情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ 最高峰のセキュリティサービスと、ITトータルソリューションを提供します。 もっと知る
巧妙化するSQLインジェクション攻撃、サーバー踏み台に個人PC狙う
ラックは2008年9月17日、2008年上期(1月~6月)のインターネット上のセキュリティ動向を解説する説明会を開催した。川口洋JSOCチーフエバンジェリスト兼セキュリティアナリストは「Webサイトを狙われるケースが多くなった。特にSQLインジェクション攻撃(用語解説)が急増し、件数は前年同期比で約4倍になった。加えて、XoopsやphpBB、WikiなどパッケージWebアプリケーションを狙う攻撃も増加している」と2008年上期を総括した。 川口氏によると08年上期のセキュリティ攻撃全体のうち、Webサイトへの攻撃が95%を占めるという。逆にWebサイト以外への攻撃は減った。「ほとんどの企業でファイアウォールの導入が済んだため、社内への不正侵入などの攻撃はしづらくなっているからだ」と分析する。Webサイトへの攻撃のうち、76%がSQLインジェクション攻撃だった。 SQLインジェクション攻撃
徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
SQLエスケープにおける「\」の取り扱い
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2008年6月2日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 昨日のエントリ(徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考)は思いがけず多くの方に読んでいただいた。ありがとうございます。その中で高木浩光氏からブクマコメントを頂戴した。 \がescape用文字のDBで\のescapeが必須になる理由が明確に書かれてない。\'が与えられたとき'だけescapeすると…。自作escapeは危うい。「安全な…作り方」3版で追加の「3.失敗例」ではDBで用意されたescape機能しか推奨していない このうち、まず「\」のエスケープが必
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
