製品SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで SQL Serverが狙われるには理由がある SQLインジェクションを利用したWebサイトの改ざん事件が頻発している。標的となったサイトの多くがIIS(ASP)とSQL Serverの組み合わせを利用していることから、今回の攻撃がIISやSQL Serverの脆弱性を利用したものだと言う報道があるらしい。 これに対して、マイクロソフトが反論している。...
- コメント数 (2)
- クリップ数 (1)
- アクセス数 (2720)
-
- kiske
- 3341ポイント
- 投稿時間:2008/06/23 12:38
SQL Serverは大抵の言語から複文が利用できるため、狙われやすいというお話。
総合トップへ- コメント
- 外部サイトでの評判
SQLインジェクションってDBの問題ではなく、プログラムのコーディングの問題ですよね。 ユーザリクエスト文字列をパラメタライズドクエリー使わず、そのままDBに投げるのが悪い。上みたいなコード書いてるアプリケーションあったらインジェクションされて当然。コピペする ブログに貼るstring query = string.format( "select * from account where password ='{0}'", this.TextBoxPassword.Text );
確かに仰ってる通りなんですが元記事の焦点はそこではなく、 DBごとに内部実装は異なっていて複文が扱えるSQL Serverは特に注意が必要ですよ、という話かと思います。
0
コメント
0
コメント
0
コメント
0
コメント
(2008/10/16 14:31)
by pandf
0
コメント
0
コメント
0
コメント
1
コメント
2
コメント
(2008/09/17 11:04)
by newzer
0
コメント
ページトップへ関連製品情報
| 開発元 | マイクロソフト |
|---|---|
| 概要 | Microsoftが開発するリレーショナルデータベース管理システム(RDBMS)。2008年9月にリリースされたSQL Server 2008の4CPU以下のサーバ向け。 |
| 開発元 | マイクロソフト |
|---|---|
| 概要 | Microsoftが開発するリレーショナルデータベース管理システム(RDBMS)。SQL Server 2000は2000年10月にリリースされ、Wind「Windows DNA 2000」のデータ層を担う中核製品と位置付けられていた。 |
| 開発元 | マイクロソフト |
|---|---|
| 概要 | Microsoftが開発するリレーショナルデータベース管理システム(RDBMS)。SQL Server 2000は2000年10月にリリースされ、Wind「Windows DNA 2000」のデータ層を担う中核製品と位置付けられていた。 |
ノウハウトップへ戻る
総合 SQL Server カテゴリへ
