Q&A
回答ありがとうございます。
まさに user and password の組み合わせで作っておりました。
とてもやさしい解説誠にありがとうございます。
よく理解できました。
簡単なログイン機能を持ったサイトを作っているのですが、SQLインジェクション対策で詰まりました。
皆様の対策方法等教えて頂けませんでしょうか?
よくあるシンプルな
ログイン:____________________
パスワード:____________________
こういうフォームを作成(DBはmysql)したのですがパスワード欄に
'OR 'A' = 'A
これを入れると突破されてしまいます。
なぜこんな一文で突破されるのか皆目検討つきませんが、対策をしなければいけません。
パスワードに 「=」 (イコール)を含まないようにプログラムしてやれば上記は何とかなりそうです。
ただ、脆弱性が上記コマンドだけじゃないような気もします。
そこで、皆さんが普段おこなっているログイン機能実装時の脆弱性対策として何をやられているか教えて頂けませんでしょうか?
回答6件
0
プリペアドステートメントを使って下さい。
完全に安全と断定できる理由がない限り SQL の文字列結合は使わないで下さい。プリペアドステートメントを使うだけで、ひとまず上記の例の SQL インジェクションは防げます。
投稿2017/06/20 09:14
総合スコア5030
0
ベストアンサー
ログインチェックのための SQL が例えば
"WHERE user='" + [ログインの入力値] + "' AND password = '" + [パスワードの入力値] + "'"
のように作られていたとしましょう。
'OR 'A' = 'A を入れた時にどうなるか。
SQL
1WHERE user='user' AND password = '' OR 'A' = 'A'
となり、'A' = 'A' は常に成立してしまいますね。
パスワードやユーザーが何であれ、通ってしまうわけです。
こうならないようにするために、Python の場合では
こちら
のようにするのが良い方法です。
投稿2017/06/20 09:28
総合スコア13703
0
まずは、検索位しましょうや。
検索ワード:SQLインジェクション対策
’
SQLインジェクション対策について - 独立行政法人情報処理推進機構(IPA)
が、あまりにも有名であることが解るはずです。
各々の知見や、事例は、再度検索してみましょう。
投稿2017/06/20 09:14
総合スコア2030
0
回答というより、余談です^^;
エスケープ処理がない場合でも、ログインシステムの一般的な実装方法では
password はハッシュ値を比較するため、パスワード欄に入力された'OR 'A' = 'Aが通ってしまうということはありません。
'OR 'A' = 'Aが通ってしまうシステムは、パスワードをハッシュ化して保存してないことを意味するので、そちらの対策も必要です。
よく見かけるサンプルですが、本来示唆したい箇所以外の問題点を含んでいるため、セキュリティの教材としては適切でないと思います。
投稿2017/06/20 12:54
退会済みユーザー
総合スコア0
0
mysqlをご利用なプレースホルダとしてprepareで処理します
どうしても気になるなら受け取ったパスをサニタイズする手もありますが
処理的にはあまり意味がありません。
投稿2017/06/20 09:34
編集2017/06/20 11:45
総合スコア116443
PHPで書いたソースは削除しておきました
回答ありがとうございます。
0
別角度から、
普通パスワードは平文で登録しません。
暗号化したもので比較します。
復号化の必要もありません。
投稿2017/06/20 09:24
総合スコア1400
(捕捉) ハッシュ値(例: MD5/SHA1/SHA256) の事を仰っておられるのであれば「暗号化」とは呼ばない方が良いと思います。重箱ですみません。
回答ありがとうございます。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/20 11:50