SQLインジェクション対策の実装方針 - マイクロソフト系技術情報 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の70件

2024-01-24

性能問題のポイント

2023-12-14

ツール類（インデックス）

2023-12-13

2023-11-01

CAL

2023-09-19

2023-08-22

Azure OpenAI Service

2023-07-31

2023-07-27

Docker Desktop for Windows

2023-07-26

Azureの仮想ネットワークピアリング

2023-04-25

メモ

2023-03-27

SAMLの実装を検証する。

2023-03-08

WSL → WSL2

2023-02-16

コンテナのチェーン

2023-02-13

Azure IoT Hub Device Provisioning Service

2023-02-09

Azure Digital Twins

2023-02-08

Azure IoT Hub

2023-02-03

Azure IoT Edge

2023-01-30

2023-01-27

カーネル・ダンプ

2023-01-12

異種環境への移行時のテスト・ポリシー

2022-12-28

2022-12-26

RecentDeleted

2022-12-12

Azure Cloud Shell

2022-12-08

Azure Machine Learningチュートリアル

2022-09-14

2022-09-12

2022-09-05

Azure Machine Learningのアルゴリズム・モデル

2022-08-29

2022-08-25

メモリ・リーク

2022-08-08

2022-08-05

2022-08-04

2022-08-02

インデックスの再構築・デフラグ

2022-06-30

2022-06-29

Azureのデータ・ストア

2022-06-28

2022-06-27

Microsoft Forms

2022-06-24

Azure Machine Learning

2022-06-15

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
対策
- 基本
- 例外
参考

概要 †

ユーザ入力などからインジェクションを行い、攻撃者の意図するSQLを実行する。
対策不十分だと、ユーザの個人情報などが漏洩するダメージの大きな攻撃を受ける可能性がある。

対策 †

基本 †

基本的にパラメタライズド・クエリを使用する。

例外 †

パラメタライズド・クエリを使用しない場合、

以下の情報を参考にして、適切にサニタイジングを行う。
脆弱性診断ツールを使用して、念入りにテストする。

参考 †

SQLインジェクション対策の極意は
SQL文を組み立てないことにあり (1/4)：CodeZine?（コードジン）
https://codezine.jp/article/detail/9204

IPA 独立行政法人情報処理推進機構
- 安全なウェブサイトの作り方
  https://www.ipa.go.jp/security/vuln/websecurity.html
  - 別冊：安全なSQLの呼び出し方
    https://www.ipa.go.jp/files/000017320.pdf

Tags: :テスト

Last-modified: 2018-12-21 (金) 10:37:27 (1946d)