2008-02-10 攻撃手法-SQLインジェクション 情報セキュリティ 入力値をそのままSQL文の一部に組み込むような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、データベースに不正アクセスする。 対策 ストアドプロシージャの利用。 パラメータのサニタイズ WAFでの入力値チェック プログラムに与えるデータベース権限の最小化 エラーメッセージにSQL実行結果の詳細を含めない。(エラーメッセージからテーブル名を知られたりするので)