- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>Webアプリケーション脆弱性対策]]
*目次 [#zbf9e5e4]
#contents
*概要 [#sb06a4ce]
-ユーザ入力などからインジェクションを行い、攻撃者の意図するSQLを実行する。
-対策不十分だと、ユーザの個人情報などが漏洩するダメージの大きな攻撃を受ける可能性がある。
*対策 [#qa66fc2c]
-基本的にパラメタライズド・クエリを使用する。
**基本 [#baaaf6a8]
基本的にパラメタライズド・クエリを使用する。
**例外 [#d356ac96]
パラメタライズド・クエリを使用しない場合、
-以下の情報を参考にして、適切にサニタイジングを行う。
-脆弱性診断ツールを使用して、念入りにテストする。
*参考 [#m977bb1e]
-SQLインジェクション対策の極意は~
SQL文を組み立てないことにあり (1/4):CodeZine(コードジン)~
https://codezine.jp/article/detail/9204
-IPA 独立行政法人 情報処理推進機構
--安全なウェブサイトの作り方~
https://www.ipa.go.jp/security/vuln/websecurity.html
---別冊:安全なSQLの呼び出し方~
https://www.ipa.go.jp/files/000017320.pdf
----
Tags: [[:テスト]]