絶賛単純作業(見た目のみ)中の筆者です。
SQLインジェクション対応というのをやっているのですが、作業的には
1、共通関数(無毒化を行う関数)の作成
2、作成した共通関数を対象プロジェクトのソースの『適切な場所』に組み込む
だけのことです。
2、が対象プロジェクトの規模に比例して作業量が増えるのですけどね~
具体的には2プロジェクトで2000本程度のSQL文の確認と共通関数組み込みとなります。
組み込んでよい場所だめな場所の判別もしているので、脳内では単純作業じゃないのですが、見た目は共通関数のコピペなので単純作業に見える、と・・・ orz
そんな作業をしていると、ふとWebシステムのセキュリティ対策について考えてしまったりします。
今回対象となっている「SQLインジェクション」はSQL文の可変部分に与える文字列を工夫することで悪さをしようというものです。
具体的にいうと・・・
Select カラムA From テーブルA Where カラムB = '(入力値)';
というSQL文があり、(入力値)は画面上のテキストボックスの入力値をそのまま入れるとします。
一昔前のクライアント-サーバ型システムでのDBアクセスではお約束といえる書き方です。
ここで、入力値に
”' or 'A' = 'A”
と入れるとどうなるでしょう・・・
Select カラムA From テーブルA Where カラムB = '' or 'A' = 'A';
条件部分が
「カラムB=""」 または 「"A" = "A"」
となってしまいました。
テーブルAの全レコードのカラムAの情報が取れそうな感じですね。
まぁ、これだけならあまり害はないのですが、いくらでも好きなSQL文に出来てしまう可能性があるのがわかると思います。
具体的には書きませんが、色々DBを弄くれる可能性も・・・ ということで極めて危険なわけです。
対応の方法は色々とありますが、最低限「'」(シングルクオート)を「''」に置換する必要があります。
実はSQLインジェクションというものは、厳密に画面の入力を定義してやればかなり防ぐことが可能だったりします。
入力値で攻撃する性質上、数値だけしか入力できないテキストボックスからは何も出来ません。
入力をプルダウンメインにしてしまえばもちろん何も出来ません。
入力可能な文字数が短ければやはり攻撃しづらい、と・・・
まぁ、フレームワーク側での対応が進んでいるので意識しなくても良いともいえるのが現在の開発環境だったりするのですけどね。
三十路すぎのSEが技術(主にWeb関連)の浅い部分について書いて見ようという企画です。 一番困ったのがブログのタイトルという良く分からない筆者ですが、東方は名曲ぞろいですよね(謎
自己紹介
ブログ アーカイブ
ラベル
フォロワー
0 件のコメント:
コメントを投稿