SQLインジェクション ブックマークが追加されました
ナレッジ
SQLインジェクション
【サイバーセキュリティ用語集】
「サイバーセキュリティ用語集」のページです。新聞・雑誌等に引用されるサイバーセキュリティの用語を解説しています。
SQLインジェクション(SQL Injection)
代表的なWebアプリケーションの脆弱性の一つ。動的に生成されるWebサイトは、バックエンドでデータベースと連動していることが多い。Webサイト中のフォームに入力されたパラメータがデータベースに渡され、処理結果が返されてWebページとして生成される。このとき、フォームに入力する文字列に細工を施すことにより、データベースに不正なSQL文を渡し、本来ならばアクセスできないはずの他人のクレジットカード番号などの情報を表示させたり、データベースの内容を操作するのがSQLインジェクション攻撃だ。対策は、開発フレームワークやライブラリが備える「バインド機構」を利用したり、フォームに入力された文字列から、SQL文で使われるような特殊な文字を無害化する「エスケープ」と呼ばれる処理を施すこと。