Web プロジェクトでの SQL インジェクションの防止

1. SQLインジェクションの概要

SQL インジェクションは、最も一般的なネットワーク攻撃方法の 1 つです。攻撃を実行するためにオペレーティングシステムのバグを使用するのではなく、プログラムを作成する際のプログラマーの不注意をターゲットにします。SQL ステートメントを使用してアカウントレスログインを実行し、データベースを改ざんすることさえあります。

2. SQLインジェクション攻撃の全体的な考え方

1. SQLインジェクションの場所を見つける
2. サーバータイプとバックエンドデータベースタイプを決定する
3. 異なるサーバーとデータベースの特性に基づくSQLインジェクション攻撃

SQLインジェクション攻撃の例

たとえば、ログインインターフェイスでは、ユーザー名とパスワードの入力を求められます。

アカウントなしでログインするには、次のように入力します:

ユーザー名: 'または1 = 1 –

パスワード：

ログインをクリックします。特別な処理を行わない場合、不正ユーザーは簡単にログインできてしまいます。（もちろん、一部の言語のデータベース API では、すでにこれらの問題に対処しています。）

これはなぜでしょうか? 以下で分析してみましょう:

理論的には、バックグラウンド認証プログラムには次の SQL ステートメントが含まれます。

文字列 sql = "user_table から * を選択します。ユーザー名 =
' "+userName+" ' および password=' "+password+" '";

上記のユーザー名とパスワードを入力すると、上記の SQL ステートメントは次のようになります。
SELECT * FROM user_table WHERE username=
''または 1 = 1 -- およびパスワード =''

「」
SQL ステートメントを分析します。
条件の後に username=”or 1=1 username is equal to” または 1=1 が続く場合、この条件は確実に成功します。

そして、最後にコメントを意味する - を 2 つ追加します。これにより、後続のステートメントがコメント化され、無効になります。このようにして、ステートメントは常に正しく実行され、ユーザーは簡単にシステムを欺いて合法的な ID を取得できます。
これはまだ比較的穏やかです。SELECT * FROM user_table WHEREを実行すると
ユーザー名='';DROP DATABASE (DB 名) --' およびパスワード=''
結果は想像に難くありません...
「」

4. SQLインジェクションを防ぐ方法

注: SQL インジェクションの脆弱性を持つプログラムは、クライアントユーザーが入力した変数または URL によって渡されたパラメータを受け入れる必要があり、この変数またはパラメータが SQL ステートメントの一部であるためです。
ユーザーが入力した内容や渡されたパラメータには常に注意を払う必要があります。これはセキュリティ分野における「外部データは信用できない」という原則です。Webセキュリティ分野におけるさまざまな攻撃方法を見ると、
それらのほとんどは、開発者がこの原則に違反していることが原因であるため、変数の検出、フィルタリング、検証から始めて、変数が開発者の期待どおりであることを確認することが自然な方法です。

1. 変数のデータ型と形式を確認する

SQL 文が where id={$id} の形式で、データベース内のすべての ID が数値である場合は、SQL を実行する前に変数 id が int 型であることを確認する必要があります。電子メールを受信する場合は、変数が電子メールアドレスの形式になっていることを確認して厳密に確認する必要があります。日付、時刻などの他の型についても同様です。まとめると、固定形式の変数がある限り、SQL ステートメントを実行する前に固定形式に従って厳密にチェックし、変数が期待どおりの形式であることを確認する必要があります。これにより、SQL インジェクション攻撃を大幅に回避できます。

たとえば、ユーザー名パラメータを受け入れるという前の例では、製品設計では、ユーザー登録の開始時に、5〜20 文字で大文字と小文字、数字、一部の安全な記号のみで構成され、特殊文字は使用できないなどのユーザー名ルールを設定する必要があります。この時点で、統一されたチェックを実行するための check_username 関数が必要になります。ただし、記事公開システムやコメントシステムなど、ユーザーが任意の文字列を送信できるようにする必要があるシステムなど、このルールには多くの例外が存在します。この場合は、フィルタリングなどの他のソリューションを使用する必要があります。

2. 特殊記号をフィルタリングする

固定形式で決定できない変数の場合、特殊記号をフィルタリングするかエスケープする必要があります。

3. 変数をバインドし、プリコンパイルされたステートメントを使用する

MySQL の mysqli ドライバーは、準備済みステートメントのサポートを提供します。さまざまなプログラミング言語には、準備済みステートメントを使用するための独自の方法があります。

実際、プリコンパイルされたステートメントを使用して変数をバインドすることが、SQL インジェクションを防ぐ最善の方法です。プリコンパイルされた SQL ステートメントのセマンティクスは変更されません。SQL ステートメントでは、変数は疑問符で表されます。ハッカーが非常に熟練していても、SQL ステートメントの構造を変更することはできません。