徳丸浩の日記 - 複文が利用できるデータベースの調査 - ... ノウハウ(Tips)  

こんにちは ゲスト さん | ログイン | 新規登録 | ヘルプ | okyuu.com

okyuu.com / ノウハウ / データベース / SQL Server / 徳丸浩の日記 - 複文が利用できるデータベースの調査 - ...

ノウハウ

Feed

(1人の評価)

20080502

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで SQL Serverが狙われるには理由がある SQLインジェクションを利用したWebサイトの改ざん事件が頻発している。標的となったサイトの多くがIIS(ASP)とSQL Serverの組み合わせを利用していることから、今回の攻撃がIISやSQL Serverの脆弱性を利用したものだと言う報道があるらしい。 これに対して、マイクロソフトが反論している。...

  • コメント数 (2)
  • クリップ数 (1)
  • アクセス数 (1526)

  • kiske
  • kiske
  • 投稿時間:2008/06/23 12:38
SQL Serverは大抵の言語から複文が利用できるため、狙われやすいというお話。

  • No_photo_thumbnail
  • nogutetu 投稿時間:2008/10/16 14:17
SQLインジェクションってDBの問題ではなく、プログラムのコーディングの問題ですよね。
ユーザリクエスト文字列をパラメタライズドクエリー使わず、そのままDBに投げるのが悪い。


コピペする ブログに貼る
string query = string.format( "select * from account where password ='{0}'", this.TextBoxPassword.Text );
上みたいなコード書いてるアプリケーションあったらインジェクションされて当然。
1点(3人の評価)

  • Thumbnail
  • kiske 投稿時間:2008/10/17 10:50
確かに仰ってる通りなんですが元記事の焦点はそこではなく、
DBごとに内部実装は異なっていて複文が扱えるSQL Serverは特に注意が必要ですよ、という話かと思います。
1点(1人の評価)

無料会員登録

カテゴリ

特集

"シャイモード"機能を活用しよう! "シャイモード"機能を活用しよう!
こんな質問してもいいのかな?そんなときは"シャイモード"で投稿!
RX-7とサーバ運用の意外な共通点 並河祐貴さん RX-7とサーバ運用の意外な共通点 並河祐貴さん
Amazon EC2を巧みに使いこなすTIS/SonicGardenの並河さん。「腕一本で食べていきたい」とITエンジニアを目指した。
「ブラックボックスは不安でしょ」 ひろせまさあきさん 「ブラックボックスは不安でしょ」 ひろせまさあきさん
エンジニアが楽しくて仕方がない。オープンソースを組み合わせてシステムを作り上げるのが彼の矜持のようだ。
Perlの地位向上を胸に 牧大輔さん Perlの地位向上を胸に 牧大輔さん
endeworksの牧大輔さんは社団法人JPAを立ち上げ、Perlの企業利用を促進したいという。
偶然からCTOへ ライブドアCTO池邉智洋さん 偶然からCTOへ ライブドアCTO池邉智洋さん
池邉智洋さんはライブドアCTOの技術メンバーを先頭で率いる。「まずはやって見せることも大事」と語る。

ノウハウランキング