「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Webアプリケーション脆弱性対策]] *目次 [#zbf9e5e4] #contents *概要 [#sb06a4ce] -ユーザ入力などからインジェクションを行い、攻撃者の意図するSQLを実行する。 -対策不十分だと、ユーザの個人情報などが漏洩するダメージの大きな攻撃を受ける可能性がある。 *対策 [#qa66fc2c] **基本 [#baaaf6a8] 基本的にパラメタライズド・クエリを使用する。 **例外 [#d356ac96] パラメタライズド・クエリを使用しない場合、~ 以下の情報を参考にして、適切にサニタイジングを行う。 パラメタライズド・クエリを使用しない場合、 -以下の情報を参考にして、適切にサニタイジングを行う。 -脆弱性診断ツールを使用して、念入りにテストする。 *参考 [#m977bb1e] -SQLインジェクション対策の極意は~ SQL文を組み立てないことにあり (1/4):CodeZine(コードジン)~ https://codezine.jp/article/detail/9204 -IPA 独立行政法人 情報処理推進機構 --安全なウェブサイトの作り方~ https://www.ipa.go.jp/security/vuln/websecurity.html ---別冊:安全なSQLの呼び出し方~ https://www.ipa.go.jp/files/000017320.pdf ---- Tags: [[:テスト]]