ランタイム時にSQLを生成するときのセキュリティ上の留意点

テキストボックスから得意先名を入力させてSQLのWhere句をランタイム時に生成するような場合、ハッカーにデータベースを覗かれたり、改ざんされる可能性があります。テキストボックスに「フレンドリーソフト」のようなデータを入力したときは、次のようなSQLが生成されて期待した結果が表示されます。

Select * From Customers Where CompanyName='フレンドリーソフト'

ところが、テキストボックスに「'フレンドリーソフト' Or '' = ''」のようなデータを入力したときは、次のようなSQLが生成されて得意先のすべてのデータが表示されてしまいます。

Select * From Customers Where CompanyName='フレンドリーソフト' Or '' = ''

また、テキストボックスに「フレンドリーソフト'; Update Customers Set Phone='03-9999-9999' Where CustomerID=143」のようなデータを入力すると、SQLのUpdateステートメントが埋め込まれてデータベースが書き換えられてしまいます。

  6: Sub btnExecuteSQL_Click(s As Object, e As EventArgs)
  7:   Dim strSqlSelect As String = "Select * From Customers " & _
  8:     "Where CompanyName='" & txtCustomerName.Text.Trim() & "'"
 11:   Dim cmd As New OleDbCommand(strSqlSelect, con)
 12:
 13:   lblMessage.Text = String.Format("SQL:<b>{0}</b><hr>", strSqlSelect)
 14:   con.Open()
 15:   Dim dr As OleDbDataReader = cmd.ExecuteReader()
 16:   While dr.Read()
 17:     With lblMessage
 18:       .Text &= String.Format("得意先ID: <b>{0}</b><br>",dr("CustomerID"))
 19:       .Text &= String.Format("得意先名: <b>{0}</b><br><hr>",dr("CompanyName"))
 20:     End With
 21:   End While
 24: End Sub

このようなセキュリティの問題を解決するには、テキストボックスに入力されたデータからシングルクオテーション(') を除去します。シングルクオテーションを除去するには、Regular Expressionクラスを利用すると便利です。次の例では、RegExクラスのReplace()メソッドで英数字と空白以外の文字を除去しています。

Dim objRegEx As New RegEx("[^0-9a-zA-Z\s]")

Response.Write( objRegEx.Replace("Friendly Soft' Or ''='" ,"") ) è Friendly Soft Or

テキストボックスに不正なデータを入力した時点でチェックするには、RegularExpressionValidatorを使用します。ValidationExpressionプロパティには、"[0-9a-zA-Z\s]*"を設定します。ここで設定したRegular Expressionは、英数字と空白のみ許可することを意味します。

<asp:TextBox id="txtCustomerName" runat="server"

  Width="20em" />

<asp:RegularExpressionValidator runat="server"

  ControlToValidate="txtCustomerName"

  ValidationExpression="[0-9a-zA-Z\s]*"

  Text="Invalid Customer Name" />