無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

攻撃手法-SQLインジェクション

入力値をそのままSQL文の一部に組み込むような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、データベースに不正アクセスする。

対策

  • ストアドプロシージャの利用。
  • パラメータのサニタイズ
  • WAFでの入力値チェック
  • プログラムに与えるデータベース権限の最小化
  • エラーメッセージにSQL実行結果の詳細を含めない。(エラーメッセージからテーブル名を知られたりするので)