その他の指摘

ついでなので、その他の指摘をいくつかしておきたい。

(1)図1のSQLのWHERE句にシングルクォートが残っているのがおかしい。

(2)エスケープを実行する場所

エスケープ処理は、SQL文を生成する直前に実施するのが定石である。入力直後にエスケープ処理を行うと、SQL文を生成する直前に別の文字列操作が行われた場合、SQLインジェクションが成功する文字列が完成してしまう可能性があるからだ。

　このような場合もあるだろうが、それ以前に、プログラムの内部では入力データそのままで扱わないと不便で仕方ないだろう。処理のたびにアンエスケープしなければならない。たとえば、表示する場合はどうするのか。近藤氏は、「攻撃を受けない」ことばかり考えているようだが、アプリケーション開発で考慮すべきことはセキュリティ以外の方がずっと多いのだ。

(3)エスケープ対象の文字

なお、エスケープ処理の必要がある文字列はデータベースサーバーによって異なるので、利用環境に合わせて実施しなければならない

これは、『文字列』ではなく『文字』

(4)エラーメッセージ
　2ページ目。

アプリケーションで作成したエラーメッセージを表示するのはよいが、エラーメッセージに必要以上の情報を表示したり、状態に応じてエラーメッセージの種類や表示内容を変えたりしてはいけない。攻撃者はそれらの情報を観察し、ブラインドSQLインジェクションを仕掛ける可能性があるからだ。ブラウザ上には、処理が失敗したことが分かる程度の簡単なエラーメッセージを表示し、詳しくはログファイルなどに出力し、ユーザーに見せないようにすべきである。

概ねよいのだが、『ブラウザ上には、処理が失敗したことが分かる程度の簡単なエラーメッセージを表示』という部分がよくない。処理が『失敗した』ことが分かれば、攻撃に対するヒントになり、ブラインドSQLインジェクションに利用される場合もあるだろう。処理が失敗したのか、入力値検証ではじいたのかを含めて、もっと大雑把なメッセージにしたほうがよい。

(5)都道府県コード

あるいは都道府県を「01〜48」のコードで表している場合は、「01〜48」の文字列のみを有効とするなどである。

　日本には、47の都道府県があるのだから、説明なしに「01〜48」とすると読者は面食らう。私の身の回りでは、48番目の県について「海外を示す」とか「いや、ぷりぷり県だ」とか、さまざまな憶測があったが、説明がないので本当のところは不明だ。

(6)マルチバイト文字について

例えば、MySQLとPostgreSQLは「\」をエスケープする必要がある。

　デフォルトの挙動としてはそうなのだが、PostgreSQLの場合standard_conforming_stringsというパラメータをonにすると、「\」のエスケープはしなくてもよい。SQLインジェクション対策という点では、onの方が安全なので、『「\」をエスケープする必要がある』と断言するのではなく、standard_conforming_stringsについても言及するべきではないか。
　一方、MySQLにもNO_BACKSLASH_ESCAPESという同種のオプションがあるが、比較的最近追加されたオプションで、私は試したことがない。こちらは、実績があまりなさそうで、推奨まではできにくそうだ。

(7)5C問題が発生する文字エンコーディング

このような現象はShift_JISにのみ起きる訳ではなく、すべての文字コードにおいて発生しうる

　『このような現象』の指す内容が曖昧だが、直前に指摘していた0x5Cの問題のことを指すのであればShift_JIS系列の文字エンコーディング(cp932などを含めて)に固有の問題といっていい。EUC-JPやUTF-8などではこの問題はないのだ。そして、それが文字エンコーディングとしてShift_JISを避けたほうがよいことの根拠になっている。
　技術文書の一般論として、曖昧な内容を「すべて…発生しうる」と断言するのは控えるべきだろう。

　まだ指摘したい内容はあるが、意見の違いに属するようなものは排除し、根拠が明確に示せるものに絞った。読者の参考になれば幸いである。

参考:WASForum Conference 2008講演資料「SQLインジェクション対策再考」