いまどき、SQLインジェクションなんて、どこのサイトでも対応しているもの、だと思っていた。
しかし、このトラックバック記事によるとそうではないらしい。
SELECT * FROM HOGE_TBL WHERE USER_ID = '[テキストボックス.ユーザーID]' AND PASS_WD = '[テキストボックス.パスワード]'
などという処理だとSQLインジェクションをしてください、といっているようなものである。
具体例を挙げるとハッキングの幇助になりかねないので避けるが、ユーザーID/パスワードを知らなくても入り込むことは私でも可能である。
この対策、難しいものではない。しかしなぜまだまだ対策がされていないのか?
プログラマ、システムエンジニアというラインから、プロジェクトマネージャーなどのスタッフまで、勉強不足であるからではないか?と思う。
顧客が「SQLインジェクション対策を」と求めてくるケースはそうないだろう。しかし、顧客に言われた事だけが要件ではない。
ただし、そういうことを学べる機会が少ないことも事実だ。
昔、ある女性に「昔の彼氏の話」として聞いたことがあるが、とある庁(省ではない)の役人が、かぎの開け方を学んでいて、その知識を活かしてホテル代要らずだった、とか。セキュリティ技術はその人の心次第、悪用も簡単であるため、なかなか公開されない、ということなのだろう。
セキュリティ技術は資格制/認可制/許可制にして、登録者のみ実務を行えるという特権を与えるなりして知識を多くの人に広げられるようにしなければ、怖くて知人にもセキュリティ技術を教えられない。
会員制サイトでも作ってみるか、などとも考えている。
しかし、このトラックバック記事によるとそうではないらしい。
SELECT * FROM HOGE_TBL WHERE USER_ID = '[テキストボックス.ユーザーID]' AND PASS_WD = '[テキストボックス.パスワード]'
などという処理だとSQLインジェクションをしてください、といっているようなものである。
具体例を挙げるとハッキングの幇助になりかねないので避けるが、ユーザーID/パスワードを知らなくても入り込むことは私でも可能である。
この対策、難しいものではない。しかしなぜまだまだ対策がされていないのか?
プログラマ、システムエンジニアというラインから、プロジェクトマネージャーなどのスタッフまで、勉強不足であるからではないか?と思う。
顧客が「SQLインジェクション対策を」と求めてくるケースはそうないだろう。しかし、顧客に言われた事だけが要件ではない。
ただし、そういうことを学べる機会が少ないことも事実だ。
昔、ある女性に「昔の彼氏の話」として聞いたことがあるが、とある庁(省ではない)の役人が、かぎの開け方を学んでいて、その知識を活かしてホテル代要らずだった、とか。セキュリティ技術はその人の心次第、悪用も簡単であるため、なかなか公開されない、ということなのだろう。
セキュリティ技術は資格制/認可制/許可制にして、登録者のみ実務を行えるという特権を与えるなりして知識を多くの人に広げられるようにしなければ、怖くて知人にもセキュリティ技術を教えられない。
会員制サイトでも作ってみるか、などとも考えている。