- ベストアンサー
セキュリティについて
皆様、こんにちは。 あるセキュリティチェックツールを使用して アプリケーションのセキュリティについて 調べたところ、 「ブラインドSQLの注入」について検知されました。 上記の言葉について調べてみましたが、 あまり文献がでてきません。(日本語) どなたかご存知の方がいらっしゃいましたら、 どういう内容なのか具体的に教えてください。 お願いいたします。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
SQLの注入=SQLインジェクション だと思います。 たぶん海外製セキュリティチェックツールを無理矢理日本語化したのでしょうw これで検索すれば山のように検索出来ますw PCにデータベースが何かインストールされてませんか? そこで起こりえるセキュリティ問題です。 WEBサイトの公開をデータベース使ってやっていて、かつこの問題が理解できなければデータベース上のデータが全て漏洩する事も考えられ、任意のコードが実行できる為、最悪PCを乗っ取られる危険性があります。 お早めの対応を・・・・<(_ _)>
その他の回答 (1)
「ブラインド SQL インジェクション」 この用語そのものは実は私は知りませんでしたが日本語での検索でうまく引っかかった気がしなかったので英語で検索し、1件目に引っかかったPDFから推測しました。 良かった。解説サイト(@IT)繋がった。(昼ごろ回答しようとしたけど繋がらなかった) まずSQLインジェクションはこんな感じです。 http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.html ブラインドSQLインジェクションとは以下のようにエラーメッセージからSQLを想像できる、という脆弱性のようです http://www.atmarkit.co.jp/fsecurity/rensai/webhole04/webhole01.html
お礼
himajin2009様 いろいろと調べてくださいまして どうもありがとうございます。 私は、英語の文献というだけで、 調べる気をなくしてしまっておりました。 すみませんでした。 教えていただいたサイトから考えると、 ブラインドSQLインジェクションとは、 DBにアクセスし、得たエラーメッセージ等から DB構造を解析し、 最終的に情報が漏洩してしまうということで、 サニタイズならびにDBにアクセスする際の データチェックが必要ということみたいですね。 また、今までDBにアクセスする際、 「statement」を使用していたのですが、 セキュリティを考慮し 「preparedstatement」に修正したほうが よいという感じなのでしょうか。。。 初期の質問内容からはずれてしまって 申し訳ございません。 対策について、いろいろと調べてみようと思います。 どうもありがとうございました。
お礼
tsukachan様 お返事くださいまして、 どうもありがとうございます。 また、何も理解できていない状態で、 質問を投げてしまい申し訳ございませんでした。 SQLインジェクションで調べて対策を考えようと 思います。 どうもありがとうございました。