Webアプリケーションの中でも最も有名な脆弱性の一つであるSQLインジェクションについて説明していきます。

■概要
多くのWebアプリケーションはデータベースと連携し、ユーザからの入力情報を基にSQLを組み立てDBMS経由でデータベースへ送信します。
その際、適切な対策が施されていないと攻撃者からの悪意あるリクエストによって不正なSQLを送信し、本来意図しない操作をされてしまう可能性があります。

■想定される被害
SQLインジェクションによって生じる被害は、主に以下の種類があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・個人情報、機密情報の漏えい
・Webサイトの改ざん
・不正ログイン

■対策
SQLインジェクションの対策として挙げられるものは以下のようなものとなります。

・SQL文の組み立ては全てプレースホルダで実装する。
・エスケープ処理をする。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　バッファオーバーフロー - 2024年3月31日
• パスワードリセットの不備 - 2024年2月29日
• 脆弱性の種類　セッション管理の不備 - 2024年1月31日