PHPコラム『DBとセキュリティ今昔』(PHP上級試験対策)
おはようございます。PHP技術者認定機構の吉政でございます。
PHP技術者認定機構の認定スクールであるヒューマンリソシアが
私が企画した、古庄親方のPHPコラム『DBとセキュリティ今昔』を公開しています。
親方こと古庄道明氏にPHP技術者認定機構の上級試験対策用のコラムを書いてほしいのです!とお願い、一肌脱いでいただいたコラムです。
上級試験を目指す方や中級者になろうとされている方は、是非ご参考ください。
###
お初にお目にかかるかたもいらっしゃるかと思いますので、簡単に自己紹介などさせていただければ。このたび、こちらでしばらくの間コラムを書かせていただくことになりました、古庄ともうします。よろしくお願いいたします。「上級試験対策連載コラム」とのことなので、コラムでは「試験対策」と「実務」とを良い感じで混ぜつつ、時々違う要素などをスパイス的にあしらって行ければ、と思います。
今回のお題はDBで、その中でも「セキュリティ」の話に傾けたあたりを展開することにいたしましょう。なんと言っても「SQL-Injection」DB関連の脆弱性といえば、なんと言っても「SQL-Injection」が最大級のインパクトになります。SQL-Injectionの脆弱性ががっつりと存在すれば、DBの中身を「読んでよし」「書いてよし」「消してよし」の3連続コンボが完成するので、脆弱性の診断などでもこれがあると大抵「緊急警報」レベルで連絡がいくようなごっつい脆弱性です。
実際問題、IPAさんでも、「安全なウェブサイトの作り方」というPDFを出してますが、SQLについてはわざわざ、これとは別に「安全なSQLの呼び出し方」というPDFを出しているあたりからも、その温度感がうかがわれようというものです。
「その割には今でも時々この脆弱性に起因しているっぽい悲鳴がニュースに持ち上がるよねぇ」という物騒な話は置いておきまして、対策についても色々と検討され練られているのが昨今の一般的な状況かと思われます。
(この続きは以下のコラム本文をご覧ください)
http://resocia.jp/column/7/