（備忘録）【Rails】SQLインジェクションについて

こちらは自分用の備忘録です。

【初心者向け】SQLインジェクションの概要と対策方法 - カゴヤのサーバー研究室

この記事を参考にしています。

１　SQLインジェクションの概要

ポイント
①　不正なSQLの命令を注入すること
②　データの漏洩・改竄につながる

２　クロスサイトスクリプティングとの違い

①　SQLインジェクション　⇨　積極的な攻撃
②　クロスサイトスクリプティング　⇨　罠をはる

３　どんな結果を引き起こすのか①

個人情報の漏洩
⇨「会員情報を全て表示」などの命令が通ってしまう。

４　どんな結果を引き起こすのか②

ウェブサイトの改竄

５　主な対策

①　エスケープ処理

②　WAFの導入

③　脆弱性診断サービス

④　その他
１）アカウント権限の設定　⇨　被害を最小限に
２）エラーメッセージの非表示　⇨　ヒントを与えない