.NETエンジニア・プログラマ向けの技術情報・業界ニュースをお届けします。

  1. FEnet.NETナビ
  2. .NETコラム
  3. .NET
  4. ASP.NET
  5. ADO.NETでSqlParameterを使うメリット【SQLインジェクション対策】

ADO.NETでSqlParameterを使うメリット【SQLインジェクション対策】

  • .NET
  • ASP.NET
  • SQL
  • データベース
公開日時:   更新日時:
ADO.NETでSqlParameterを使うメリット【SQLインジェクション対策】
この記事でわかること
    基本情報技術者試験の試験対策はこちら>>

    データベース接続において、インジェクション対策は非常に重要です。サイト上からの入力画面にて悪意ある攻撃者からSQL文を含む文字列が渡された際に、データベースが意図しないデータを返して情報が漏洩してしまう可能性があるからです。ここではその対策として、SqlParameterを利用する方法を紹介します。

    システム
    エンジニア
    インジェクション対策って具体的にどのようにするんですか?
    プロジェクト
    リーダー
    外部からの攻撃に対してデータベースが誤作動をしないように、外部からの入力情報をチェックするといった感じですね。では、有効な対策の一つであるSqlParameterを使ってみましょうか。

    SQLインジェクションとは

    SQLインジェクションとは、データベースに関するセキュリティ問題のことです。
    悪意ある攻撃者から入力された情報の中に、SQL文を含んだ文字列が入っていた場合、データベースがその要求通りにデータを返してしまう、データベースのデータが改ざんや破壊されるといった事態を引き起こします。

    ADO.NETにおいてはSqlParameterクラスを利用するのが有効な対策となっています。

    どのような場合に発生しやすいか

    データベースとの接続を行うSQL文の生成の際に、外部から入力された情報をそのまま文字列として連結している場合に起こりやすいです。入力された情報がSQLのどの部分に当てはまるかを推測されてしまい、意味の通るSQL文を入力値として指定すると、データベースが要求通りにデータを返してしまいます。

    ADO.NETのSqlParameterが対策になる理由

    インジェクション対策をするためには、外部から入力された情報が不具合を起こさないようにチェックする必要があります。そのために、SQL文の一部となる入力情報に対しては、意図しない情報となっていないか、使用してはならない文字が使われていないかなどのチェックが不可欠です。

    自身でチェック処理を作るのもよいですが、ADO.NETにおいては、SqlParameterクラスを使うことでその処理を簡略化することができます。SqlParameterクラスは、SQL文生成に不都合な情報を含んでいる場合、影響のない形式にしてパラメーターとすることができるからです。

    システム
    エンジニア
    外部入力のチェックを確実にしていくのが対策になるんですね。
    プロジェクト
    リーダー
    SqlParameterはその手間を軽減する手段として使えますから、積極的に活用できるようにしたいですね。

    SQLインジェクション対策は確実に行う

    外部からの攻撃に対して確実な対策をしておかなければ、せっかく作ったサイトを台無しにしてしまいかねません。そのためにも確実なSQLインジェクション対策を講じて、脅威となる攻撃のリスクを軽減していくようにしましょう。

    FEnet.NETナビ・.NETコラムは株式会社オープンアップシステムが運営しています。
    株式会社オープンアップシステムロゴ

    株式会社オープンアップシステムはこんな会社です

    秋葉原オフィスには株式会社オープンアップシステムをはじめグループのIT企業が集結!
    数多くのエンジニアが集まります。

    秋葉原オフィスイメージ
    • スマホアプリから業務系システムまで

      スマホアプリから業務系システムまで

      スマホアプリから業務系システムまで開発案件多数。システムエンジニア・プログラマーとしての多彩なキャリアパスがあります。

    • 充実した研修制度

      充実した研修制度

      毎年、IT技術のトレンドや社員の要望に合わせて、カリキュラムを刷新し展開しています。社内講師の丁寧なサポートを受けながら、自分のペースで学ぶことができます。

    • 資格取得を応援

      資格取得を応援

      スキルアップしたい社員を応援するために資格取得一時金制度を設けています。受験料(実費)と合わせて資格レベルに合わせた最大10万円の一時金も支給しています。

    • 東証プライム上場企業グループ

      東証プライム上場企業グループ

      オープンアップシステムは東証プライム上場「株式会社夢真ビーネックスグループ」のグループ企業です。

      安定した経営基盤とグループ間のスムーズな連携でコロナ禍でも安定した雇用を実現させています。

    株式会社オープンアップシステムに興味を持った方へ

    株式会社オープンアップシステムでは、開発系エンジニア・プログラマを募集しています。

    年収をアップしたい!スキルアップしたい!大手の上流案件にチャレンジしたい!
    まずは話だけでも聞いてみたい場合もOK。お気軽にご登録ください。

    株式会社オープンアップシステムへのご応募はこちら↓
    株式会社オープンアップシステムへのご応募はこちら↓

    新着案件New Job