情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開(情報元のブックマーク数)
ってことで、安全なSQLの呼び出し方を徳丸さんや高木さんが書かれています。これは必見ですね。エスケープの話とか書かれています。
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
URL:http://www.ipa.go.jp/security/vuln/websecurity.html
全部サンプルがDELETEだったのにちょっとびっくりしただけ。
ここで、$idに以下の値を与える場合、
';DELETE FROM atable-- 7
パラメータを展開した後のSQL文は以下のようになります。
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開SELECT-FROM atable WHERE id='';DELETE FROM atable--'