SQL エラーメッセージを無効にする (Security Center 1.3 および 1.5 で更新)
glide.db.loguser プロパティを使用して、SQL エラーメッセージがブラウザーでレンダリングされないようにします。
glide.db.loguserが推奨値の false に設定されていない場合、機密性の高いサーバー側のエラーメッセージがエンドユーザーに表示される可能性があります。エラーメッセージには、スタックトレースやデータベースの構造に関する情報が含まれており、前提条件が存在する場合、SQL インジェクションを成功させるために必要な知識を攻撃者に提供する可能性があります。多層防御のため、これらのエラーメッセージはエンドユーザーに表示されません。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.db.loguser |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | エラー処理とログ記録 |
| 目的 | ブラウザー内での SQL エラーメッセージの表示を無効にすること |
| タイプ | ブール |
| 推奨値 | false |
| デフォルト値 | true |
| セキュリティリスク評価 | 3.1 |
| 機能への影響 | この修正により、SQL エラーメッセージの表示が無効になります。機能への影響はありません。 |
| セキュリティリスク | (中) 攻撃者に役立つ可能性のある機密の SQL 情報は、Web ページのエラーメッセージに含まれて表示されることはありません。 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。