2011/11/09

ネット上の SQL インジェクション対策情報は不正確なものが多いらしい


「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記

上記記事でセキュリティで有名な徳丸さんが、「SQLインジェクション対策」を Google で検索して、その上位15記事について検証をされています。

驚いたのが、検索結果の上位にくるサイトの中に間違った、または不十分な解説を行っているものが多いということです。これでは初心者の方がネットで調べて間違った対策を行ってしまいます。間違った対策を解説しているサイトは記事を訂正してくれることを期待します。

SQL インジェクションの対策は IPA が発行している「安全なSQLの呼び出し方」に従うことが正しいのですが、まだ正しい情報が広まっていないようですね。

徳丸さんの記事にも引用されていましたが、SQL インジェクション対策を簡潔にまとめた内容は以下のようになります。

SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。

  • 単にプリペアドステートメントを使え
  • 絶対に文字列結合でSQLを構築しようとしてはいけない
  • IPAの「安全なSQLの呼び出し方」を読むこと

http://d.hatena.ne.jp/ajiyoshi/20100409/1270809525

みなさんもご注意ください。

 

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
徳丸 浩

ソフトバンククリエイティブ
売り上げランキング : 2364

Amazonで詳しく見る

スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

コメントを書く



プロフィール

  • 名前:fnya
    経歴:
    SE としての経験は15年以上。様々な言語と環境で業務系システム開発を行い、セキュリティ対策などもしていました。現在は趣味SE。

    Twitter では、ブログでは取り上げない情報も公開しています。


    ブログについて

    このブログは、IT、スマートフォン、タブレット、システム開発などに関するさまざまな話題を取り上げたり、雑感などをつづっています。

    >>ブログ詳細
    >>自作ツール
    >>運営サイト
    >>Windows 10 まとめ

    Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから