パソコントラブル解決・過去ログ > Linux ログ ;> 他OSの検索
データベースを利用するベーシック認証において
◇-?データベースを利用するベーシック認証において-No.27-06/05-22:05(219)-No.451865
▲このページのトップに戻る
| 451865 | データベースを利用するベーシック認証において | No.27 | 2008/06/05-22:05 |
メーカー名:HEWLETT PACKARD ヒューレット・パッカード OS名:Linux パソコン名:Proliant ML350 トラブル現象:インターネット全般その他 データベースを利用するベーシック認証において 使用回線:ADSL -- データベースを利用するベーシック認証において、 SQLインジェクションの被害にあう可能性はありますか? おおよそ以下の流れでベーシック認証は機能しているということが、 WEBを調べた結果分かりました。 1.クライアントから、WEBサーバーのベーシック認証がかけられているディレクトリにhttpリクエストを送信する。 ↓ 2.サーバーから「このディレクトリにはベーシック認証がかけられています」という意味のレスポンスをクライアントに送信する。 ↓ 3.クライアントのブラウザがサーバーのレスポンスを受けユーザ名、パスワードを入力するポップアップを表示させる。 ↓ 4.ユーザ名、パスワードを入力して”OK”をクリックすると、入力したユーザ名、パスワードをクライアントからサーバーにリクエストを送信する。 ↓ 5.サーバーはクライアントからリクエストされた内容を.htaccessに記載されているデータベース情報を元に、データベースに問い合わせ、照合を行なう。 ↓ 6.サーバーはID、パスワードの照合結果をクライアントにレスポンスを送信する。 5.においてデータベースに問い合わせを行なう時に、 クライアントから送信された内容によってはSQLインジェクションが 可能になってしまうのではないか、と思っておりますが、 どうなんでしょうか。 そもそも、SQLインジェクションを恐れるなら、 ベーシック認証よりもセキュアな認証をすべきだ、という意見もあるかと思いますが、 もろもろの理由により、調査することになりました。 ご意見、参考サイト情報など頂けると幸いです。 よろしくお願いします。 | |||
パソコントラブル解決・過去ログ > Linux ログ > データベースを利用するベーシック認証において
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
Facebookコメントを書く/読む
