ブログBlog
攻撃と対策
こんにちはサカタです。
いよいよ本格的に寒くなってきましたね。皆様は体調等崩されてはいないでしょうか?
私は相変わらず季節の変わり目、一日の温度差のある日の体調はイマイチです。
とりあえず今使っている古いノートパソコンは熱が上がりにくくなって少し調子が良さそうなのは助かっていますが。
さて、ネットの記事によると先日の9月4日だけでロシアからのSQLインジェクション攻撃が平均値の3倍以上もあったとの事です。戦争の影響でロシアを支持するサイバー攻撃集団によるものと見られているようです。怖いですね。
SQLインジェクションへの対策はSQLの発行にバインドを利用する事やエスケープ処理をする事を正しく実装する事が一般的です。
前者は最初から入力値からSQLをそのまま作成するのではなく、あらかじめ入力値以外のSQL構文を作成しておいて、変動する入力値のみを後から割り当て(バインド)するように処理する事です。これで入力値に不正なSQL構文を入力されないようにする処理です。
後者は入力値に「%」や「_」といったワイルドカード文字等がバインド値として送られないように値検証処理でエラーにしたり、エスケープしたりする処理です。
これらは一般的にSQL処理に実装される処理なので、正しく実装すれば問題はありません。
攻撃は戦場だけではないようです。気をつけて正しく実装するようにしましょう。
それでは、また。
いよいよ本格的に寒くなってきましたね。皆様は体調等崩されてはいないでしょうか?
私は相変わらず季節の変わり目、一日の温度差のある日の体調はイマイチです。
とりあえず今使っている古いノートパソコンは熱が上がりにくくなって少し調子が良さそうなのは助かっていますが。
さて、ネットの記事によると先日の9月4日だけでロシアからのSQLインジェクション攻撃が平均値の3倍以上もあったとの事です。戦争の影響でロシアを支持するサイバー攻撃集団によるものと見られているようです。怖いですね。
SQLインジェクションへの対策はSQLの発行にバインドを利用する事やエスケープ処理をする事を正しく実装する事が一般的です。
前者は最初から入力値からSQLをそのまま作成するのではなく、あらかじめ入力値以外のSQL構文を作成しておいて、変動する入力値のみを後から割り当て(バインド)するように処理する事です。これで入力値に不正なSQL構文を入力されないようにする処理です。
後者は入力値に「%」や「_」といったワイルドカード文字等がバインド値として送られないように値検証処理でエラーにしたり、エスケープしたりする処理です。
これらは一般的にSQL処理に実装される処理なので、正しく実装すれば問題はありません。
攻撃は戦場だけではないようです。気をつけて正しく実装するようにしましょう。
それでは、また。