main
用語辞典索引 index
大規模災害年表
SQLインジェクション(SQL Injection)
SQLインジェクション(SQL Injection)とは、アプリケーションの脆弱性を悪用し、アプリケーションが想定しないSQL文を実行させることでデータベースシステムを不正に操作する攻撃手法です。
SQLインジェクション攻撃による被害には様々なものがありますが、一般的には本来アクセスできないデータへのアクセスを許してしまったり、データを改ざんされたりすることで、機密情報が漏洩したり、Webサイトが改ざんされたりします。SQLインジェクション攻撃は、2000年代半ばころから世界中で頻発し、その後、様々な対策が施されてきましたが、現時点でも有効な攻撃手法として被害を生み続けています。

SQLインジェクション攻撃を引き起こすアプリケーションの脆弱性は、主に入力値を適切にエスケープしないことに起因しています。対策としては、想定されない入力値を受け付けないようにアプリケーションを修正する、またはWAF(Web Application Firewall)などを導入し、SQLサーバへの入力をチェックするようにするなどの方法があります。
関連用語
関連情報

▲  このページのトップに戻る  ▲