15分でできるSQLインジェクション
3 likes3,147 views
2011年4月23日の minami.rb 第7回勉強会のLTで発表した「15分でできるSQLインジェクション」の発表資料です。
![1、プレースホルダを使う
params[:user][:name] = “Guns N' Roses”
# ダメな例
User.where("name like '%#{params[:user][:name]}%'")
#=> SELECT "users".* FROM "users" WHERE (name like
'Guns N' Roses')
# 良い例
User.where("name like ?", "%#{params[:user][:name]}
%")
#=> SELECT "users".* FROM "users" WHERE (name like
'Guns N'' Roses')](https://image.slidesharecdn.com/sqlinjection-110502101409-phpapp02/85/15-SQL-10-320.jpg)
![2、どうしてもSQLを直接実行しないと
いけない場合は値をサニタイズする
class User < ActiveRecord::Base
def self.force_bang(hostname)
values = sanitize_sql_array(["pending = ?",
"t"])
conditions = sanitize_sql_array(["email
like ?", hostname])
update_all(values, conditions)
end
end
User.force_bang("h'otmail.com")](https://image.slidesharecdn.com/sqlinjection-110502101409-phpapp02/85/15-SQL-11-320.jpg)
15分でできるSQLインジェクション
- 1. 15分でできるSQLインジェクション よしだあつし
- 2. 自己紹介 ● 名前: 吉田篤 ● 生年月日: 1983年1月4日 ● 性別: 無職系男子 ● 最近のお気に入り: scala Android
- 3. SQLインジェクション
- 4. SQLインジェクションとは? ● Webアプリケーションの脆弱性の一つ ● 「任意のSQLが実行できる」脆弱性 ● 危険度: 大
- 5. デモ データの作成 ↓ データ一覧を表示 ↓ 検索 ↓ SQLインジェクション発動
- 6. 対策
- 7. DBを使わない!
- 9. 対策(Railsの場合)
- 10. 1、プレースホルダを使う params[:user][:name] = “Guns N' Roses” # ダメな例 User.where("name like '%#{params[:user][:name]}%'") #=> SELECT "users".* FROM "users" WHERE (name like 'Guns N' Roses') # 良い例 User.where("name like ?", "%#{params[:user][:name]} %") #=> SELECT "users".* FROM "users" WHERE (name like 'Guns N'' Roses')
- 11. 2、どうしてもSQLを直接実行しないと いけない場合は値をサニタイズする class User < ActiveRecord::Base def self.force_bang(hostname) values = sanitize_sql_array(["pending = ?", "t"]) conditions = sanitize_sql_array(["email like ?", hostname]) update_all(values, conditions) end end User.force_bang("h'otmail.com")
- 12. セキュリティで大切な事
- 14. まとめ ● SQLインジェクション怖いです ● プレースホルダを使え! ● RailsではなるべくSQLをそのまま実行する のはやめましょう ● どうしてもSQLを実行しないといけないとき は全ての値をサニタイズしましょう
- 15. おまけ
- 17. ご清聴ありがとうございました