情報処理推進機構(IPA)は2010年3月18日、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」を公開した。Webサイトを狙ったSQLインジェクション攻撃が後を絶たないことから制作したもので、自由にダウンロードできる。
2010年1月に改訂第4版を公開した「安全なウェブサイトの作り方」の別冊で、SQLインジェクション攻撃への具体的な対策を示した。
内容は、SQLインジェクションが発生する原因や、安全なSQL呼び出しのために何が必要かなど。「本書の位置づけ」、「リテラルとSQLインジェクション」、「SQLの呼び出し方」、「データベースと連動したSQL文生成」、「DBMS製品の実態調査」の5章構成。
第5章では、JavaとOracle、PHPとPostgreSQLなど5種類のプログラミング言語とデータベースの組み合わせを取り上げ、安全な実装方法や安全なソースコードの書き方を解説した。また、付録で、文字コードに関する問題など、特定のデータベースに関する情報ををまとめた。PDFファイルで計40ページ。
IPAによると、2008年ごろから急増しているWebサイトを狙った攻撃の45%がSQLインジェクション攻撃だという。
安全なSQLの呼び出し方
http://www.ipa.go.jp/security/vuln/websecurity.html