TOP > Up > Today
名前: No.27 BBSから
質問:http://pasokoma.jp/45/lg451865#451865
携帯:http://pasokoma.jp/m?num=451865&ope=v
--
メーカー名:HEWLETT PACKARD ヒューレット・パッカード
OS名:Linux
パソコン名:Proliant ML350
トラブル現象:インターネット全般その他 データベースを利用するベーシック認証において
使用回線:ADSL
--
データベースを利用するベーシック認証において、
SQLインジェクションの被害にあう可能性はありますか?
おおよそ以下の流れでベーシック認証は機能しているということが、
WEBを調べた結果分かりました。
1.クライアントから、WEBサーバーのベーシック認証がかけられているディレクトリにhttpリクエストを送信する。
↓
2.サーバーから「このディレクトリにはベーシック認証がかけられています」という意味のレスポンスをクライアントに送信する。
↓
3.クライアントのブラウザがサーバーのレスポンスを受けユーザ名、パスワードを入力するポップアップを表示させる。
↓
4.ユーザ名、パスワードを入力して”OK”をクリックすると、入力したユーザ名、パスワードをクライアントからサーバーにリクエストを送信する。
↓
5.サーバーはクライアントからリクエストされた内容を.htaccessに記載されているデータベース情報を元に、データベースに問い合わせ、照合を行なう。
↓
6.サーバーはID、パスワードの照合結果をクライアントにレスポンスを送信する。
5.においてデータベースに問い合わせを行なう時に、
クライアントから送信された内容によってはSQLインジェクションが
可能になってしまうのではないか、と思っておりますが、
どうなんでしょうか。
そもそも、SQLインジェクションを恐れるなら、
ベーシック認証よりもセキュアな認証をすべきだ、という意見もあるかと思いますが、
もろもろの理由により、調査することになりました。
ご意見、参考サイト情報など頂けると幸いです。
よろしくお願いします。
--
== 掲示板URL: http://pasokoma.jp/bbs ==
配信の停止: http://pasokoma.jp/taikai
本メールマガジンへの返信はなさらないで下さい
== 投稿はパソコン困りごと掲示板でお願い致します ===
TOP > Up > Today