MSDE FunClub
Microsoft Data Engine FunClub
MSDE初心者向けメーリングリスト過去ログ[1721]番
 
[TOP]>[MSDE初心者向けメーリングリスト過去ログ(1721番)]>[ウィンドを閉じる]
 
SQLServer2005時代でも
開発の基本は T-SQL
上巻で T-SQL の基礎作り
 
SQLServer2005時代でも
運用の基本はバックアップ
下巻でバックアップ手法を学びましょう
PASSJ人気コンテンツで学んだ後は下巻でさらなる学習を!
 
ウィンドを閉じる
MSDE/SQLServer FAQ
MSDE / MSDE2000 
技術情報サポート
初心者向け
メーリングリスト
過去ログの表示
技術者向け
メーリングリスト
過去ログの表示
メーリングリスト
活動状況の
表示
MSDE TOP メニュー
MSDEトップメニューに移動します
 

 
SQL インジェクション攻撃にご注意下さい

Date: Thu, 24 Nov 2005 20:08:59 +0900
From: "Akira Horikawa" <who@example.ne.jp>


メーリングリスト
参加者各位様


 ワコールオンラインショッピングの不正アクセス事件でも、
その手口は、SQLインジェクション攻撃だったようです。


ワコールオンラインショッピング
http://www.e-shop.wacoal.co.jp/

お客様情報の流出に関するお詫びとご説明
http://www.wacoal.co.jp/owabi0511/

NECネクサソリューションズの説明
http://www.nec-nexs.com/news/info/051124.html

手口はまたもやSQLインジェクション,ワコールオンラインショップへの
不正アクセス 
http://itpro.nikkeibp.co.jp/article/NEWS/20051122/224979/


SQLインジェクション攻撃は、Webのフォーム上から渡される
パラメータの内容をチェックせずに、そのままSQL文を動的に
組み立てる場合などに発生します。

初心者向け書籍等でSQL文を勉強する場合、渡されるパラメータの
内容を正しくチェックせずに、そのまま使ってしまう例題等が
掲載されます。
またWebページ等で解説される学習向けのSQL文の内容も
同様です。

このような初心者向け解説記事通りにSQL文を作成すると、
インジェクション攻撃を受けることになります。

Webのフォームから渡されるパラメータは、間違っていることを
前提に、様々な検査を行なってからSQL文に組み込んでください。


特に今回の日経BPの報道で気になるのは、一度、
SQLインジェクション攻撃の対策をしているにも関らずそれに
対策漏れがあったということです。

SQLServerやMSDEで、安直に対策を行なう場合は、
        sp_executesql ストアドプロシージャ
を活用して下さい。

本来は詳細なパラメータチェックをしてからSQL文を組み立てるのですが
パラメータチェック等に費用や時間を掛けたくないときは、このストアド
プロシージャに書き換えることも1つの方法です。

SQL インジェクション 
http://www.horikawa.ne.jp/msde/support/injection/injection-index.html


Webと連携して動くデータベースのSQL文の点検をお願いします。


------------------------------------
Epata-IT/日本技術ソフト開発
        堀川 明  (Akira Horikawa)
    11月24日(木曜日) 20時02分記
        mailto:who@example.ne.jp
        http://www.horikawa.ne.jp/msde/



[MSDE/SQLServerに関して、今、どんなことにお困りですか?]
よろしければお困りの内容を、電子メールで教えて下さい。
質問を電子メールで作成する


[ウィンドを閉じる]

[MSDE/SQLServer FAQ ]

[MSDE / MSDE2000 技術サポート情報一覧]

MSDE TOP ページに移動する

 
 
 
 
 
 
 
MSDE FunClubに関するご意見・ご要望等ございましたら、
msdefun@horikawa.ne.jp までご連絡下さい。
MSDEを始めとする各種データベースシステムの開発、コンサルタントに関するご要望等は、
msdedev@horikawa.ne.jp までご連絡下さい。