SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

伏石ちゃんは意図に反したい

なかなか撲滅できないSQLインジェクション、その原理と対策を知る【伏石ちゃんは意図に反したい】

FILE 0x0A: SQLインジェクション

  • X ポスト
  • このエントリーをはてなブックマークに追加

解説:教えて那々子先生

先生
いやあ、お勤めご苦労様
充希
何も悪いことしてませんよ!
先生
このクラスから逮捕者を出したくないとは言ったが、まさか、捜査協力OJTプログラム第一号で、逮捕者が出るとはな
充希
だから何も……

なかなか撲滅できないSQLインジェクション

先生
まあ、安心しろ。サイバー保安庁は、この10年は離職者が後を絶たず、スキル不足の人材が多い。だから、今回の取り組みは逆OJTみたいなもんだ。大成功じゃないか、大成功
充希
それ、安心していいのかな……
先生
SQLインジェクションといえば、100年(※)近く前から定番の脆弱性だが、安全対策が進んだから、相対的に認知度は下がってきている。仕方がないといえば仕方がないな

 ※この作品の舞台は2070年の設定です。SQLを使用するデータベースが登場したのが1970年代であるということからおよそ100年としていますが、公開の場でSQLインジェクション攻撃について議論され始めたのは1998年とする文献があります。

充希
原理の説明は聞きましたが、なんで100年も時間があって撲滅できないんでしょうか?
先生
いくつか理由はあるだろうが、インジェクション系の脆弱性全般に言えることは、無意識にユーザーの入力を信用し過ぎているということだろうな。取引先カナに'--')/ヨッなんて入力する奴なんていないと
充希
……
先生
まあ、今回のように'--のように特別な意味を持つ記号は分かりやすいが、Shift_JISの2バイト文字の2バイト目の文字コードが記号と解釈されてSQLインジェクションの脆弱性となる事例もある。開発者が、そういった挙動をすべて把握するのは難しいし、挙動を知らなければ異常系テストも行なえない

次のページ
対策方法

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
伏石ちゃんは意図に反したい連載記事一覧

もっと読む

この記事の著者

井二 かける(イブタ カケル)

 情報処理安全確保支援士、プログラマー、作家。「物語の力でIT・セキュリティをもっと面白く」をモットーに、作家活動、セキュリティ啓発活動を行う。主な作品はアニメ「こうしす!」、小説「こうしす!社内SE祝園アカネの情報セキュリティ事件簿」(翔泳社)、マンガ「伏石ちゃんは意図に反したい ~ハッキングから始まる高校生活~」(京姫鉄道出版)など。 Twitter:@k_ibuta@kyoki_railway

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

山口 しずか(ヤマグチ シズカ)

 やりたいことはなんでもやる精神で急成長中の漫画家。2019年よりマンガアプリにて商業連載デビュー。連載の傍ら企業のPR漫画や漫画動画など媒体・ジャンルにとらわれず時代に合わせた漫画を制作中。趣味はお酒と旅行。 Twitter:@shizuckey

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/16179 2022/07/22 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング