質問 > その他 > 2.4系でのSQLインジェクション対策について |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
fukuhy |
投稿日時: 2011/12/21 16:15
対応状況: −−−
|
新米 登録日: 2010/5/14 居住地: 投稿: 9 |
2.4系でのSQLインジェクション対策について 間違ってフロント機能の方へ投稿してしまいましたので、
こちらで改めて投稿させていただきます。 2.4.0を使用しています。 MySQL:5.0.45 PHP:5.1.6 クライアントからSQLインジェクション対策についてのチェックリストを渡されたのですが、 当方の知識ではどちらにチェックすればよいのか全くわかりません。。。 どなたかお教えいただけませんでしょうか。 デザインの変更以外は特にカスタムらしい事はしていません。 脆弱性一覧に掲載されている2.4系の対策を施していれば大丈夫でしょうか。 宜しくお願いいたします ○SQL文の組み立てにバインド機構を使用する。 (OK・未対策) ○バインド機構を利用できない場合は、SQL文を構成する全ての変数に対しエスケープ処理を行う。 (OK・未対策) ○ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない。 (OK・未対策) ○エラーメッセージをそのままブラウザに表示しない。 (OK・未対策) ○データベースアカウントに適切な権限を与える。 (OK・未対策) |
AMUAMU |
投稿日時: 2011/12/22 3:38
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 2.4系でのSQLインジェクション対策について >脆弱性一覧に掲載されている2.4系の対策を施していれば大丈夫でしょうか。
基本的には対策をして2.4.4相当になっていれば既知の範囲では脆弱性に相当する問題は無く大丈夫かと思われます。 それぞれのOK/未対策は環境毎の設定に寄るところもあるので一概にも言えない部分もありますが、概ねOKなのはWebアプリの基本ですのでEC-CUBEとしては大丈夫と言えると思います。
|
fukuhy |
投稿日時: 2011/12/22 12:52
対応状況: 解決済
|
新米 登録日: 2010/5/14 居住地: 投稿: 9 |
Re: 2.4系でのSQLインジェクション対策について AMUAMU様
返信ありがとうございます。 今回は概ね大丈夫(であろう)という認識で回答する事にいたしました。 回答基準の判断が全くつきませんでしたので アドバイスをいただいて大変助かりました。 有難うございました。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |