Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

IPA、PDF資料「安全なSQLの呼び出し方」を公開
SQLインジェクション攻撃への具体的な対策書

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2010/03/18 19:30

 IPA(独立行政法人情報処理推進機構)は18日、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」を公開した。

 IPA(独立行政法人情報処理推進機構)は18日、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」(PDF)を公開した。全5章(計40ページ)および付録からなり、冊子「安全なウェブサイトの作り方」(PDF)の別冊として、公式サイトより入手できる。

 「安全なSQLの呼び出し方」では、SQLインジェクション攻撃にどのような対策を取れば安全であるかの要件を検討し、安全なSQL呼び出しを実現する考え方を製品によって整理しながら、具体的なケースの調査結果を示している。

 特に第5章では、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、Perl/JavaとMySQL、ASP.NETとSQL Server)における安全な実装方法とソースコードの書き方を解説しているほか、付録には、文字コードに関する問題など特定のデータベースに関する情報がまとめられている。

 SQLインジェクション攻撃は、Webアプリケーションがデータベースと連携する際に発行するSQL文の組み立て方法における問題点を利用する。データベースを不正利用し、Webサイトの改竄や不正コードの設置、情報漏洩など、深刻な被害を引き起こす。

 IPAによると、SQLインジェクション攻撃は2008年頃から急増し、現在も継続して被害が続いており、一般的な対策を実施していても隙を突かれかねないことから、具体的な対策を解説した資料「安全なSQLの呼び出し方」を制作した。

 
【関連リンク】
情報処理推進機構:情報セキュリティ:脆弱性対策:「安全なSQLの呼び出し方」を公開

  • LINEで送る
  • このエントリーをはてなブックマークに追加

おすすめ記事

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5