公開日:2013年3月3日
最終更新日:2013年12月26日
最終更新日:2013年12月26日
SQLインジェクション対策(Java編)
Java で SQL インジェクション対策を実際にどのように行うのか、簡単なログイン処理で具体的に見てみましょう。
ログイン処理の概要は以下の通りです。動作環境は、Tomcat 7 + SQL Server 2012 になります。
接続先のデータベース名は Test、テーブル名は LOGIN で、列名は ID, PASSWORD です。
・login.jsp
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head> <body> <h1>ログイン</h1> <form action="/test/login" method="post"> ID:<input type="text" name="id"><br> Password:<input type="password" name="password"><br> <input type="submit" value="ログイン"> <input type="reset" value="リセット"> </form> </body> </html> |
・login(Login.java)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 |
import java.io.IOException; import java.sql.Connection; import java.sql.Driver; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Properties; import javax.servlet.RequestDispatcher; import javax.servlet.ServletContext; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; public class Login extends HttpServlet { @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { int count = 0; //パラメーター取得 req.setCharacterEncoding("utf-8"); String id = req.getParameter("id"); String password = req.getParameter("password"); try { //JDBC ドライバ読み込み Driver d = (Driver) Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver").newInstance(); //SQL Server 接続文字列 String connUrl = "jdbc:sqlserver://localhost:1433;database=Test;" + "user=user01;password=pass"; //DB に接続 Connection con = d.connect(connUrl, new Properties()); //プレースホルダで SQL 作成 String sql = "SELECT COUNT(*) AS CNT FROM LOGIN WHERE ID = ? AND PASSWORD = ?;"; //SQL をプリコンパイル PreparedStatement pstmt = con.prepareStatement(sql); //パラメーターセット pstmt.setString(1, id); pstmt.setString(2, password); //SQL 実行 ResultSet rs = pstmt.executeQuery(); while (rs.next()) { count = rs.getInt("CNT"); } rs.close(); pstmt.close(); con.close(); } catch (Exception e) { e.printStackTrace(); } if (count == 1) { //ログイン成功 HttpSession session = req.getSession(true); session.setAttribute("id", id); ServletContext sc = getServletContext(); RequestDispatcher rd = sc.getRequestDispatcher("/welcome.jsp"); rd.forward(req, resp); } else { //ログイン失敗 resp.sendRedirect("/test/login.jsp"); } } } |
(追記)
データーベースの種類と接続方法によっては、Java でプレースホルダを指定しても、安全な「静的プレースホルダ」ではなく、SQL インジェクションの可能性が起きうる「動的プレースホルダ」を使用する場合があります。詳しくは、IPA が公開している「安全なSQLの呼び出し方」をご参照ください。
(追記2)
JDBC Driver の仕様では、PreparedStatement を利用しても、必ずしもプレースホルダとしてSQL インジェクションを防ぐという期待通りの動作を保証している訳ではないようです。ですので、 PreparedStatement が SQL インジェクションを防ぐかどうかは JDBC Driver の実装に依存します。採用する JDBC Driver が PreparedStatement で SQL インジェクションを防げるか動作確認をする必要があります。Java + Oracle, Java + MySQL については「安全なSQLの呼び出し方」に記載があるのでご参照ください。
・welcome.jsp
|
1 2 3 4 5 6 7 8 9 10 11 |
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ page import="org.apache.commons.lang3.StringEscapeUtils" %> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head> <body> <h1>ようこそ、<%=StringEscapeUtils.escapeHtml4((String)session.getAttribute("id")) %>さん</h1> </body> </html> |
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す