情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開(情報元のブックマーク数)

ってことで、安全なSQLの呼び出し方を徳丸さんや高木さんが書かれています。これは必見ですね。エスケープの話とか書かれています。

IPA独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/vuln/websecurity.html

情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開

全部サンプルがDELETEだったのにちょっとびっくりしただけ。

ここで、$idに以下の値を与える場合、

';DELETE FROM atable-- 7

パラメータを展開した後のSQL文は以下のようになります。

SELECT-FROM atable WHERE id='';DELETE FROM atable--'

情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開