SQLインジェクションとは

SQLインジェクションとは、Webアプリケーションに対する攻撃手法の一つ。または、その攻撃を可能とする脆弱性のこと。なお、「インジェクション」(injection)とは「注入」の意味。

データベースの操作を行うSQLに不備があると、SQLインジェクションの脆弱性が発生する。攻撃者は、SQL文に不適切な文字列を「注入」することで、データベースを不正に操ることが可能となる。

これにより、「データベース内のすべての情報が外部から盗まれる」「データベースの内容が改ざんされる」「IDとパスワードを用いずにログインされる」といった非常に深刻な影響を受ける可能性がある。

最近のWebサイト(Webアプリケーション)は、データベースと連携して様々な機能を提供するものが多く、SQLインジェクションはWebサイトの代表的な攻撃方法の一つである。このため、アプリケーション開発者は、SQLインジェクション脆弱性が絶対に発生しないようなプログラミングをすることが求められる。

セキュリティ用語辞典一覧ページへ

関連キーワード:

SQL

脆弱性