安全な実装方法を解説、IPAが「安全なSQLの呼び出し方」公開 - Enterprise Watch
資料(PDF)はIPAの「安全なウェブサイトの作り方」からダウンロードできます(同名資料の別冊という扱い)。
最近はWebアプリへの攻撃の主流はGumbler型に変わっていると言われていますが、それでもWebアプリへの攻撃方法の主流である事に変わりはなく、発生した場合の被害も大きいし、直すのも大変なのも変わりはないです。
……やはり執筆に関わった人が人だけに、かなりシッカリとした資料ですね。DBの操作を伴うWebアプリを開発している人/これから開発している人は是非読むべきです。
つーか、この程度の資料を読んで理解できない時点で、Webアプリを作る資格がn(ry
勿論読む事も重要ですが、一番重要なのは(安全な環境(※1)にて)実際に手を動かして試してみて、どういうモノなのかを体感する事なのではないかと。
(結局の処、セキュリティホールと言えども、バグである事に変わりは無いですし。)
---
(※1)ローカルの開発・検証環境の事。勿論本番環境で試すのは論外だし、ましてや人様の環境に対して行うのは、不ア禁法でとっ捕まっても文句は言えませんがな。
資料(PDF)はIPAの「安全なウェブサイトの作り方」からダウンロードできます(同名資料の別冊という扱い)。
最近はWebアプリへの攻撃の主流はGumbler型に変わっていると言われていますが、それでもWebアプリへの攻撃方法の主流である事に変わりはなく、発生した場合の被害も大きいし、直すのも大変なのも変わりはないです。
……やはり執筆に関わった人が人だけに、かなりシッカリとした資料ですね。DBの操作を伴うWebアプリを開発している人/これから開発している人は是非読むべきです。
つーか、この程度の資料を読んで理解できない時点で、Webアプリを作る資格がn(ry
勿論読む事も重要ですが、一番重要なのは(安全な環境(※1)にて)実際に手を動かして試してみて、どういうモノなのかを体感する事なのではないかと。
(結局の処、セキュリティホールと言えども、バグである事に変わりは無いですし。)
---
(※1)ローカルの開発・検証環境の事。勿論本番環境で試すのは論外だし、ましてや人様の環境に対して行うのは、不ア禁法でとっ捕まっても文句は言えませんがな。