VBAからのデータベースアクセスを止め、データベースアクセスはサーバー側の処理に任せた方がいいのではないかと考えている件の、セキュリティ面の観点について。
【意図しないSQLの問題】
まず、意図しないSQL文が要求されることが挙げられる、
VBAのプログラムからSQL文を直接発行するケースは多いだろう。アプリケーションからDBMSに対して直接SQL文でリクエストできるのは通常であるが、少しの技術と悪意があれば、クライアントアプリケーションから
・データ破壊
・データベースへの高負荷な要求
を行うことが可能である。
例えばWebのシステム。リクエストはサーバーのアプリケーション(CGI含む)が受け取っているが、要求は特定の命令とパラメータとして受け取り、内部で処理をするようになっている。それにより、想定しないSQL文を排除できている、ということだ。
クライアントアプリケーションから直接SQL文を実行させる、ということはセキュリティ面で考えるとリスクを包含している、ということは認知して頂きたい。
なお、過去に「データベースへの高負荷な要求」によりサーバーを停止させかけた経験がある。過去記事にあるので興味があればどうぞ。
カテゴリ: VBA構築事例
記事 : 汎用機DBのテーブル定義書作成ツール (1~5)
1 2 3 4 5
【意図しないSQLの問題】
まず、意図しないSQL文が要求されることが挙げられる、
VBAのプログラムからSQL文を直接発行するケースは多いだろう。アプリケーションからDBMSに対して直接SQL文でリクエストできるのは通常であるが、少しの技術と悪意があれば、クライアントアプリケーションから
・データ破壊
・データベースへの高負荷な要求
を行うことが可能である。
例えばWebのシステム。リクエストはサーバーのアプリケーション(CGI含む)が受け取っているが、要求は特定の命令とパラメータとして受け取り、内部で処理をするようになっている。それにより、想定しないSQL文を排除できている、ということだ。
クライアントアプリケーションから直接SQL文を実行させる、ということはセキュリティ面で考えるとリスクを包含している、ということは認知して頂きたい。
なお、過去に「データベースへの高負荷な要求」によりサーバーを停止させかけた経験がある。過去記事にあるので興味があればどうぞ。
カテゴリ: VBA構築事例
記事 : 汎用機DBのテーブル定義書作成ツール (1~5)
1 2 3 4 5