ウェブセキュリティとWeb2.0 SQLインジェクションの問題と対策

スポンサーリンク
SQLインジェクション(SQL Injection)の問題

  • SQL インジェクション
  • (古い)問題: 動的データは、検証なしにSQLステートメントに使われます。
  • 攻撃のリストは、 ' OR "=' ! で終わりません。
SQLインジェクション(SQL Injection)の悪いアイデア

" 1 = 1" をフィルターします。
' をフィルターします。
/* をフィルターします。

注意: ブラックリストはいけません。ホワイトリストです。
  • データベース固有のエスケープ機能/メソッド
  • さらによい: (もしサポートされているなら)Prepared statements(プリペアドステートメント)
SQLインジェクション(SQL Injection)の思いつきの攻撃:

  • エラーメッセージの表示
  • UNION攻撃
  • ブラインドSQLアタック (Blind SQL attacks)
  • ビルトインの機能を利用します。
  • セカンドオーダアタック
  • DoS攻撃
原文
http://us.apachecon.com/us2007/downloads/web20security.pdf
スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!
Twitter
Facebook
LINE
Pocket
はてぶ
RSS

もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ

プライバシーポリシー