My Photo

« 釣り番組まとめ | Main | クロスサイトリクエストフォージェリ(CSRF)その1 »

October 27, 2013

SQLインジェクション その8

関連記事:
SQLインジェクション その1
SQLインジェクション その2
SQLインジェクション その3
SQLインジェクション その4
SQLインジェクション その5
SQLインジェクション その6
SQLインジェクション その7

SQLインジェクションの保険的対策

  • 詳細なエラーメッセージの抑止
  • 入力値の妥当性検証
  • DBの権限設定

詳細なエラーメッセージの抑止

PHPの場合、詳細なエラーメッセージを抑止するには php.ini で以下のように設定する。

display_error = Off
DBの権限設定

アプリケーションを実現するのに必要最低限な権限のみを与えておけば、万が一SQLインジェクション攻撃を受けても被害を最小限にとどめることができる。
例えば商品情報を表示するだけのアプリケーションの場合、商品テーブルの読み出し権限だけを与える。これで商品データや他のデータの改ざんはできない。

参考文献:体系的に学ぶWebアプリケーションの作り方 4.4.1 SQLインジェクション

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
徳丸 浩

ソフトバンククリエイティブ 2011-03-03
売り上げランキング : 4070

Amazonで詳しく見る
by G-Tools

« 釣り番組まとめ | Main | クロスサイトリクエストフォージェリ(CSRF)その1 »

PHP」カテゴリの記事

セキュリティ」カテゴリの記事

Comments

Post a comment

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/26461/58464976

Listed below are links to weblogs that reference SQLインジェクション その8:

« 釣り番組まとめ | Main | クロスサイトリクエストフォージェリ(CSRF)その1 »

April 2017
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            
無料ブログはココログ

日本blog村

  • にほんブログ村 IT技術ブログへ
  • にほんブログ村 アニメブログへ
  • にほんブログ村 サッカーブログ アルビレックス新潟へ

好きな音楽家

メモ

XI-Prof