SQLインジェクション
【対策】
その1:SQLに使われる文字のエスケープ
"\"・","・"'" "%"・";" 等。
そもそろSQL文の条件等に直接パラメータ(値)を渡さない
その2:フレームワーク等直接SQL文の実行をしないような構成にする
Ruby on Railsとか
その3:DBのアカウントや権限管理(ロール管理)をする
その4:SQLエラーを画面表示しない
デバッグ中はいいかもしれないが本番では もちろんx
同様にサーバのシェルとかへの引き渡しも同じようなことを考慮すること!!
その1:SQLに使われる文字のエスケープ
"\"・","・"'" "%"・";" 等。
そもそろSQL文の条件等に直接パラメータ(値)を渡さない
その2:フレームワーク等直接SQL文の実行をしないような構成にする
Ruby on Railsとか
その3:DBのアカウントや権限管理(ロール管理)をする
その4:SQLエラーを画面表示しない
デバッグ中はいいかもしれないが本番では もちろんx
同様にサーバのシェルとかへの引き渡しも同じようなことを考慮すること!!
コメントするにはログインが必要です