 IPAï¼ˆç‹¬ç«‹è¡Œæ”¿æ³•äººæƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹ï¼‰ã¯18æ—¥ã€Webアプリケーションã®å®‰å…¨ãªå®Ÿè£…方法を解説ã—ãŸè³‡æ–™ã€Œå®‰å…¨ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã‚’公開ã—ãŸã€‚
IPAã€PDF資料「安全ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã‚’公開
SQLインジェクション攻撃ã¸ã®å…·ä½“çš„ãªå¯¾ç–書
 IPAï¼ˆç‹¬ç«‹è¡Œæ”¿æ³•äººæƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹ï¼‰ã¯18æ—¥ã€Webアプリケーションã®å®‰å…¨ãªå®Ÿè£…方法を解説ã—ãŸè³‡æ–™ã€Œå®‰å…¨ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ï¼ˆPDF)を公開ã—ãŸã€‚å…¨5ç« ï¼ˆè¨ˆ40ページ)ãŠã‚ˆã³ä»˜éŒ²ã‹ã‚‰ãªã‚Šã€å†Šå「安全ãªã‚¦ã‚§ãƒ–サイトã®ä½œã‚Šæ–¹ã€ï¼ˆPDF)ã®åˆ¥å†Šã¨ã—ã¦ã€å…¬å¼ã‚µã‚¤ãƒˆã‚ˆã‚Šå…¥æ‰‹ã§ãる。
 「安全ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã§ã¯ã€SQLインジェクション攻撃ã«ã©ã®ã‚ˆã†ãªå¯¾ç–ã‚’å–ã‚Œã°å®‰å…¨ã§ã‚ã‚‹ã‹ã®è¦ä»¶ã‚’検討ã—ã€å®‰å…¨ãªSQL呼ã³å‡ºã—を実ç¾ã™ã‚‹è€ƒãˆæ–¹ã‚’製å“ã«ã‚ˆã£ã¦æ•´ç†ã—ãªãŒã‚‰ã€å…·ä½“çš„ãªã‚±ãƒ¼ã‚¹ã®èª¿æŸ»çµæžœã‚’示ã—ã¦ã„る。
 特ã«ç¬¬5ç« ã§ã¯ã€5種類ã®ãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°è¨€èªžã¨ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã®çµ„ã¿åˆã‚ã›ï¼ˆJavaã¨Oracleã€PHPã¨PostgreSQLã€Perlï¼Javaã¨MySQLã€ASP.NETã¨SQL Server)ã«ãŠã‘る安全ãªå®Ÿè£…方法ã¨ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã®æ›¸ã方を解説ã—ã¦ã„ã‚‹ã»ã‹ã€ä»˜éŒ²ã«ã¯ã€æ–‡å—コードã«é–¢ã™ã‚‹å•é¡Œãªã©ç‰¹å®šã®ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã«é–¢ã™ã‚‹æƒ…å ±ãŒã¾ã¨ã‚られã¦ã„る。
 SQLインジェクション攻撃ã¯ã€WebアプリケーションãŒãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã¨é€£æºã™ã‚‹éš›ã«ç™ºè¡Œã™ã‚‹SQLæ–‡ã®çµ„ã¿ç«‹ã¦æ–¹æ³•ã«ãŠã‘ã‚‹å•é¡Œç‚¹ã‚’利用ã™ã‚‹ã€‚データベースをä¸æ£åˆ©ç”¨ã—ã€Webサイトã®æ”¹ç«„ã‚„ä¸æ£ã‚³ãƒ¼ãƒ‰ã®è¨ç½®ã€æƒ…å ±æ¼æ´©ãªã©ã€æ·±åˆ»ãªè¢«å®³ã‚’引ãèµ·ã“ã™ã€‚
 IPAã«ã‚ˆã‚‹ã¨ã€SQLインジェクション攻撃ã¯2008å¹´é ƒã‹ã‚‰æ€¥å¢—ã—ã€ç¾åœ¨ã‚‚継続ã—ã¦è¢«å®³ãŒç¶šã„ã¦ãŠã‚Šã€ä¸€èˆ¬çš„ãªå¯¾ç–を実施ã—ã¦ã„ã¦ã‚‚隙をçªã‹ã‚Œã‹ããªã„ã“ã¨ã‹ã‚‰ã€å…·ä½“çš„ãªå¯¾ç–を解説ã—ãŸè³‡æ–™ã€Œå®‰å…¨ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã‚’制作ã—ãŸã€‚
 
ã€é–¢é€£ãƒªãƒ³ã‚¯ã€‘
ãƒ»æƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹ï¼šæƒ…å ±ã‚»ã‚ュリティ:脆弱性対ç–:「安全ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã‚’公開
ã“ã®è¨˜äº‹ã¯å‚考ã«ãªã‚Šã¾ã—ãŸã‹ï¼Ÿ
- ã“ã®è¨˜äº‹ã®è‘—者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineã¯ã€æ ªå¼ä¼šç¤¾ç¿”泳社ãŒé‹å–¶ã™ã‚‹ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢é–‹ç™ºè€…å‘ã‘ã®Webメディアã§ã™ã€‚「デベãƒãƒƒãƒ‘ーã®æˆé•·ã¨èª²é¡Œè§£æ±ºã«è²¢çŒ®ã™ã‚‹ãƒ¡ãƒ‡ã‚£ã‚¢ã€ã‚’コンセプトã«ã€ç¾å ´ã§å½¹ç«‹ã¤æœ€æ–°æƒ…å ±ã‚’æ—¥ã€…ãŠå±Šã‘ã—ã¾ã™ã€‚
※プãƒãƒ•ã‚£ãƒ¼ãƒ«ã¯ã€åŸ·ç†æ™‚点ã€ã¾ãŸã¯ç›´è¿‘ã®è¨˜äº‹ã®å¯„稿時点ã§ã®å†…容ã§ã™
ã“ã®è¨˜äº‹ã¯å‚考ã«ãªã‚Šã¾ã—ãŸã‹ï¼Ÿ
ã“ã®è¨˜äº‹ã‚’シェア
