Q&A
ありがとうございました。ご指摘の通りで、、申し訳ないです。
サーバーのログに下記のようなログが大量に残っていました。
一部略しています。
[error] [client xx.xxx.xxx.x] PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/html/example.com/mysql.php on line 22, ref
erer:
http://www.example.com/sample.php?page=5&u_sort=count&u_order=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x39313
3353134353632342e39,0x39313335313435363233352e39--
これは不正なアクセスを狙ったものでしょうか。
その場合、どのようにして対策をしたらいいのでしょうか?
パラメーターに数字以外が含まれていたらアクセス拒否したらいいのかなと思ったのですが、その方法が分かりません。
また、mysql.phpの該当箇所に@を入れてブラウザ上にエラー表示をしないようにしました。
これで根本的解決にはなっていないと思いますが、不正なアクセスをしようとしている人には効果があるのでしょうか?
どうかよろしくお願いいたします。
回答3件
0
ベストアンサー
どのようにして対策をしたらいいのでしょうか?
まずは、「SQLインジェクションが起きないようにプログラムを作る」のが大前提です。バインドなどでSQL文をきちんと組み立てていれば、パラメータに何かをねじ込もうとするような攻撃が来ても、ログが残るだけで影響はありません。
基本的にHTTPアクセス自体を止めるのは得策ではありませんが、
- 特定の帯域(あるクラウドサービス、あるいは特定の国)から来ることが判明していて、その帯域にサービスしなくても問題ない場合
- 内輪向けのサービスなど、接続する人間が限られるような場合
には、IPアドレスレベルで接続を切ってしまってもいいかもしれません。
なお、
mysql.phpの該当箇所に@を入れてブラウザ上にエラー表示をしないようにしました。
本番環境では、error_reporting(0);でエラー表示を完全に止めておきましょう。閲覧者に表示させるのは攻撃の手がかりになるだけで、有害無益です。
投稿2017/10/31 05:52
総合スコア146543
0
「mysql_fetch_array()」でデータを取っているのでしょうか?
そもそもmysql_* 関数はすでに過去の遺物で使用は控えるべきです
投稿2017/10/31 05:48
総合スコア117644
0
私も詳しく知らないのでググってみたのですが、まさしく攻撃ですね。
SQLインジェクションの中の、UNIONインジェクションと呼ばれる攻撃のようです。
UNIONインジェクションの説明記事
http://www.byakuya-shobo.co.jp/hj/moh/sqlinjectioncheatsheet.html#UnionInjections
UNIONインジェクションで実際に攻撃するにはどんな手順で行われるのかの参考記事
http://d.hatena.ne.jp/nagakura_eil/20090419/p1
コード側で「SQLクエリ文字列を文字列結合で作って実行」なんてことをしてると、この攻撃で一発で全てのデータが抜かれます。プリペアドステートメントを使っていればここまで簡単には抜けないはずです。
※といっても、プリペアドステートメントなら絶対安全かというとそうでもないので、セキュリティについては調べてください。
投稿2017/10/31 05:44
編集2017/10/31 05:47
総合スコア9210
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/10/31 14:58
2017/11/07 01:37