dbSheet Logo|dbSheet Logo
サーバー版設定・操作関連

Q. dbSheetにおいて、クロスサイト・スクリプティングやSQLインジェクションに対するセキュリティ 対策はどのようになっているか知りたい。

製品の種類
:実行版クリックワンス実行版開発版サーバー版

Answer

1)サーバー管理画面

 ログイン画面において、SQLインジェクション対策、クロスサイト・スクリプティング対策の検証を行い、問題がないことを確認しております。


2)dbSheet実行版

 Excel 上の入力セルでのSQLインジェクション対策として、SQL実行の設定時にSQLパラメータを

 使用できるようになっております。

 SQL文と「SQLパラメータ」は別々にDB側(ユーザーDB)に送信されるので、「SQLインジェクション

 対策」になります。

SQLパラメータの利用例

一方で、直接SQL文にセルの値(アドレス)を記述した場合の「インジェクション」対策機能はございません。

この場合、設定された情報がそのままDB側(ユーザーDB)に送信されることになります。

このような場合のSQLインジェクション対策としては、EXCEL のシート側に、SQL インジェクションとして疑われるような文字列が入力セルに入力されていないか、EXCEL の関数等を利用して、エラーチェックする仕掛けを組み込む必要があります。

また、「10200:テーブル更新」でテーブルに反映されるセル値、変数値は SQL 文として認識されません。

したがって 「10200:テーブル更新」においてはSQL インジェクションは発生いたしません。

なお、実行版は専用ソフトになりますので、ブラウザが仲介するクロスサイトスクリプティングなどの対象となることはありません。

オンラインヘルプの改善にご協力ください。

このページは役に立ちましたか?