Web プロジェクトでの SQL インジェクションの防止

Web プロジェクトでの SQL インジェクションの防止

1. SQLインジェクションの概要

SQL インジェクションは、最も一般的なネットワーク攻撃方法の 1 つです。攻撃を実行するためにオペレーティング システムのバグを使用するのではなく、プログラムを作成する際のプログラマーの不注意をターゲットにします。SQL ステートメントを使用してアカウントレス ログインを実行し、データベースを改ざんすることさえあります。

2. SQLインジェクション攻撃の全体的な考え方

  • 1. SQLインジェクションの場所を見つける
  • 2. サーバータイプとバックエンドデータベースタイプを決定する
  • 3. 異なるサーバーとデータベースの特性に基づくSQLインジェクション攻撃

SQLインジェクション攻撃の例

たとえば、ログイン インターフェイスでは、ユーザー名とパスワードの入力を求められます。

アカウントなしでログインするには、次のように入力します:

ユーザー名: 'または1 = 1 –

パスワード:

ログインをクリックします。特別な処理を行わない場合、不正ユーザーは簡単にログインできてしまいます。(もちろん、一部の言語のデータベース API では、すでにこれらの問題に対処しています。)

これはなぜでしょうか? 以下で分析してみましょう:

理論的には、バックグラウンド認証プログラムには次の SQL ステートメントが含まれます。

文字列 sql = "user_table から * を選択します。ユーザー名 =
' "+userName+" ' および password=' "+password+" '";

上記のユーザー名とパスワードを入力すると、上記の SQL ステートメントは次のようになります。
SELECT * FROM user_table WHERE username=
''または 1 = 1 -- およびパスワード =''

「」
SQL ステートメントを分析します。
条件の後に username=”or 1=1 username is equal to” または 1=1 が続く場合、この条件は確実に成功します。

そして、最後にコメントを意味する - を 2 つ追加します。これにより、後続のステートメントがコメント化され、無効になります。このようにして、ステートメントは常に正しく実行され、ユーザーは簡単にシステムを欺いて合法的な ID を取得できます。
これはまだ比較的穏やかです。SELECT * FROM user_table WHEREを実行すると
ユーザー名='';DROP DATABASE (DB 名) --' およびパスワード=''
結果は想像に難くありません...
「」

4. SQLインジェクションを防ぐ方法

注: SQL インジェクションの脆弱性を持つプログラムは、クライアント ユーザーが入力した変数または URL によって渡されたパラメータを受け入れる必要があり、この変数またはパラメータが SQL ステートメントの一部であるためです。

ユーザーが入力した内容や渡されたパラメータには常に注意を払う必要があります。これはセキュリティ分野における「外部データは信用できない」という原則です。Webセキュリティ分野におけるさまざまな攻撃方法を見ると、

それらのほとんどは、開発者がこの原則に違反していることが原因であるため、変数の検出、フィルタリング、検証から始めて、変数が開発者の期待どおりであることを確認することが自然な方法です。

1. 変数のデータ型と形式を確認する

SQL 文が where id={$id} の形式で、データベース内のすべての ID が数値である場合は、SQL を実行する前に変数 id が int 型であることを確認する必要があります。電子メールを受信する場合は、変数が電子メール アドレスの形式になっていることを確認して厳密に確認する必要があります。日付、時刻などの他の型についても同様です。まとめると、固定形式の変数がある限り、SQL ステートメントを実行する前に固定形式に従って厳密にチェックし、変数が期待どおりの形式であることを確認する必要があります。これにより、SQL インジェクション攻撃を大幅に回避できます。

たとえば、ユーザー名パラメータを受け入れるという前の例では、製品設計では、ユーザー登録の開始時に、5〜20 文字で大文字と小文字、数字、一部の安全な記号のみで構成され、特殊文字は使用できないなどのユーザー名ルールを設定する必要があります。この時点で、統一されたチェックを実行するための check_username 関数が必要になります。ただし、記事公開システムやコメント システムなど、ユーザーが任意の文字列を送信できるようにする必要があるシステムなど、このルールには多くの例外が存在します。この場合は、フィルタリングなどの他のソリューションを使用する必要があります。

2. 特殊記号をフィルタリングする

固定形式で決定できない変数の場合、特殊記号をフィルタリングするかエスケープする必要があります。

3. 変数をバインドし、プリコンパイルされたステートメントを使用する

MySQL の mysqli ドライバーは、準備済みステートメントのサポートを提供します。さまざまなプログラミング言語には、準備済みステートメントを使用するための独自の方法があります。

実際、プリコンパイルされたステートメントを使用して変数をバインドすることが、SQL インジェクションを防ぐ最善の方法です。プリコンパイルされた SQL ステートメントのセマンティクスは変更されません。SQL ステートメントでは、変数は疑問符で表されます。ハッカーが非常に熟練していても、SQL ステートメントの構造を変更することはできません。

まとめ:

  • 1. バインド変数を含むプリコンパイルされたSQL文を使用する
  • 2. ユーザーの機密情報を厳重に暗号化する
  • 3. 本番環境でWebサーバーのエラー表示を勝手に有効にしない
  • 4. 正規表現を使用して受信パラメータをフィルタリングする
  • 5. 文字列フィルタリング
  • 6. 不正な文字が含まれていないか確認する

一般的に、一般的な SQL インジェクションを防ぐには、コード標準に注意するだけで十分です。

以上、Web プロジェクトにおける SQL インジェクションの防止についてご紹介しました。お役に立てれば幸いです。また、123WORDPRESS.COM ウェブサイトをサポートしてくださっている皆様にも感謝申し上げます。

以下もご興味があるかもしれません:
  • SQLインジェクションを防ぐ効果的な5つの方法のまとめ
  • SQLインジェクションを効果的に防ぐ方法
  • SQLインジェクションを防ぐための効果的な方法のデモンストレーション
  • #{} が SQL インジェクションを防ぐ理由について簡単に説明します。

<<:  Javascriptの基本ループの詳しい説明

>>:  HTML タグのメタ概要、HTML5 のヘッド メタ属性の概要

推薦する

シンプルなドラッグ効果を実現するJavaScript

この記事では、簡単なドラッグ効果を実現するためのJavaScriptの具体的なコードを参考までに紹介...

nginx 設定ファイルパスとリソースファイルパスを表示する方法

nginx 設定ファイルのパスを表示する nginx -t 経由nginx -t コマンドの本来の機...

ナビゲーションデザインと情報アーキテクチャ

<br />ナビゲーションについて話すときは、ほとんどの場合、ナビゲーションがコンテンツ...

Ubuntuはポート22を開きます

シナリオssh 経由で Ubuntu サーバーに接続するには、xshell ツールを使用する必要があ...

Linux カーネル デバイス ドライバー Linux カーネル 基本メモの概要

1. Linuxカーネルドライバモジュールの仕組み静的ロードでは、ドライバモジュールをカーネルにコン...

React Router V6 のアップデート

目次ReactRouterV6 の変更1. <Switch> が <Routes&...

nginx を使用して正規表現で指定された URL リクエストを傍受する方法

nginx サーバーnginx は、静的ファイルの処理に非常に効率的な優れた Web サーバーです。...

js を使用してシンプルなスイッチ ライト コードを実装する

体の部位: <button>ライトのオン/オフを切り替える</button>...

シェアしたい絶妙なApple風無料アイコン素材18セット

Apple マグカップのアイコンと追加機能 HD ストレージボックス – アドオンパックセイバースノ...

Mysql+JavaSwing に基づくスーパーマーケット商品管理システムの設計と実装

目次1. 機能紹介2. キーコード2.1 ホームページの機能2.2 製品情報を追加する2.3 データ...

getdata テーブル テーブル データ 結合 mysql メソッド

パブリック関数 json_product_list($where, $order){ グローバル ...

Linux/Mac MySQL パスワードを忘れた場合のパスワード変更コマンドラインメソッド

すべての前提条件にはルート権限が必要です1. MySQLプロセスを終了する //Linux sudo...

MySQL 5.7.18 アーカイブ圧縮版のインストールチュートリアル

この記事では、MySQL 5.7.18アーカイブ圧縮版をインストールする具体的な方法を参考までに紹介...

MySQL 学習: データベース テーブルの 5 つの主要な制約を初心者向けに詳しく説明します

目次1. 制約の概念と分類2. 5つの制約の追加と削除2.1 制約を追加する6つの方法2.2 制約を...