SQLインジェクション対策の極意はSQL文を組み立てないことにあり

OWASPでビルトイン・セキュリティ　第4回

徳丸浩（OWASP Japan）[著]

2016/01/29 14:00

目次
Page1 SQLインジェクションとは何か SQLインジェクション対策もれで損害賠償の判決も OWASPのドキュメントに見るSQLインジェクション対策
Page2 ストアドプロシージャとはなぜストアドプロシージャがSQLインジェクション対策になるのかストアドプロシージャを使いさえすればSQLインジェクション対策になるわけではないストアドプロシージャの内部でSQL文を動的に組み立てるサンプル
Page3 脆弱性の確認ストアドプロシージャ内であってもSQL文を動的に組み立ててはいけない
Page4 ストアドプロシージャの呼び出しでSQL文を動的に組み立てる場合エスケープによる対策は難易度が高い結局のところSQLインジェクション対策の極意は、SQL文を動的に組み立てないこと

※この続きは、会員の方のみお読みいただけます（登録無料）。

あなたにオススメ

徳丸浩（OWASP Japan）（トクマルヒロシ）

1985年京セラ株式会社入社、1995年、京セラコミュニケーションシステム株式会社（KCCS）転籍。携帯電話向けインフラ、プラットフォームの企画・開発を担当。Webアプリケーションのセキュリティ問題に直面し、研究、社内展開、寄稿などを開始する。2004年に、KCCS社内ベンチャーとしてWebアプリケ...

連載:OWASPでビルトイン・セキュリティ