SQLインジェクション
- (2009-04-14 10:40:58)
-------------------------------
ショッピングカートシステムは将来的に自社内ハウジングの自社サーバーに移行することになると考えている。そうなるとセキュリティ上配慮されたマシンルームも必要になるし、サーバーのセキュリティ対策(セキュリティパッチや専用ソフト・専用機器の設置など)や対応も自社スタッフで行う必要がある。顧客情報を含むデータベースを外部公開することにもなる。負担が大きいので1年や2年先の話ではないが、将来的にはロードマップを描いておきたい。
一番のネックはセキュリティだと思う。セキュリティ対策は完全なコストでありながら、失敗すれば企業の存亡にも関わる事項だけに悩ましい。とはいってもセキュリティ対策はある程度、手法も製品もこなれてきているので当社のような小さい企業でも、自社サーバー・自社ハウジング・自社メンテもまったく別次元の話ではない。
やや心配なのがデータベース。SQLインジェクションという手法で顧客情報が漏洩するトラブルが相次ぎ、すっかり有名になった。データベースを外部公開することの恐ろしさが身にしみる。
SQLはデータベースを操作するためのコマンド体系。極めて柔軟かつ複雑な操作を可能にする反面、すべての文字列の組み合わせで何が発生するのか検証されていない(検証するにしても天文学的種類の組み合わせを行う必要がある。組み合わせはプログラムでできないのだろうか?)、もしくは細部の仕様がパーフェクトに決定されていないため、あるデータベースのあるバージョンではある文字列でテーブルの中のデータが露出されることがあるという。
特定文字列でそういうバグが発見されるとその都度バグフィックスがなされるという。後手後手の対策しかないのが現状らしい。データベースの外部公開はまだ先になりそう。
<< 商品番号命名ルール< | >ダブルクォートで囲まれたケータイメールアドレス >>