独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は3月18日、Webサイトを狙ったSQLインジェクション攻撃が継続していることから、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」を同日よりIPAのWebサイトで公開した。本資料は、SQLインジェクション攻撃は攻撃が成功した場合、Webサイトの改ざんや不正コードの設置、Webサイトからの情報漏えいなど、深刻な被害が発生することから制作したもの。SQLインジェクション対策が安全なものであるための要件を掘り下げて検討し、どの製品をどのように使えば安全なSQL呼び出しを実現できるのか、その考え方を整理しながら、いくつかの具体的ケースについて調査結果を掲載している。また、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、PerlとMySQL、JavaとMySQL、ASP.NETとSQL Server)を取り上げ、SQLインジェクション攻撃に対して安全な実装方法を調査し、安全なソースコードの書き方を解説している。http://www.ipa.go.jp/security/vuln/press/201003_websecurity_sql.html
