データベースを利用するベーシック認証において



▲このページのトップに戻る
451865データベースを利用するベーシック認証においてNo.27 2008/06/05-22:05

メーカー名:HEWLETT PACKARD ヒューレット・パッカード
OS名:Linux
パソコン名:Proliant ML350
トラブル現象:インターネット全般その他 データベースを利用するベーシック認証において
使用回線:ADSL
--
データベースを利用するベーシック認証において、
SQLインジェクションの被害にあう可能性はありますか?

おおよそ以下の流れでベーシック認証は機能しているということが、
WEBを調べた結果分かりました。

1.クライアントから、WEBサーバーのベーシック認証がかけられているディレクトリにhttpリクエストを送信する。

2.サーバーから「このディレクトリにはベーシック認証がかけられています」という意味のレスポンスをクライアントに送信する。

3.クライアントのブラウザがサーバーのレスポンスを受けユーザ名、パスワードを入力するポップアップを表示させる。

4.ユーザ名、パスワードを入力して”OK”をクリックすると、入力したユーザ名、パスワードをクライアントからサーバーにリクエストを送信する。

5.サーバーはクライアントからリクエストされた内容を.htaccessに記載されているデータベース情報を元に、データベースに問い合わせ、照合を行なう。

6.サーバーはID、パスワードの照合結果をクライアントにレスポンスを送信する。


5.においてデータベースに問い合わせを行なう時に、
クライアントから送信された内容によってはSQLインジェクションが
可能になってしまうのではないか、と思っておりますが、
どうなんでしょうか。

そもそも、SQLインジェクションを恐れるなら、
ベーシック認証よりもセキュアな認証をすべきだ、という意見もあるかと思いますが、
もろもろの理由により、調査することになりました。

ご意見、参考サイト情報など頂けると幸いです。
よろしくお願いします。


A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言