100辞書・辞典一括検索

JLogos

33

SQLインジェクション
【エスキューエルインジェクション】


SQL injection

データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムパラメータとしてSQL文の断片を与えることにより、データベース改ざんしたり不正に情報を入手する攻撃。また、そのような攻撃を許してしまうプログラム脆弱性のこと。{LF}多くのWebアプリケーションではデータベースの操作にSQLという言語を利用しており、ユーザフォームから送信した検索語などのパラメータを受け取り、これをSQL文に埋め込んでデータベースへの問い合わせや操作を行なう。このとき、SQL文の断片として解釈できる文字列をパラメータに含めることで、プログラムが想定していないSQL文を合成し、不正にデータベースの内容を削除したり、本来アクセスできない情報を表示させたりすることができてしまう場合がある。このような攻撃手法をSQLインジェクションという。「インジェクション」(injection)とは「注入」という意味。{LF}SQLインジェクションパラメータSQL文に埋め込む際にきちんとチェックが行なわれていないために起こる。パラメータ中にSQL構文やSQL文で特殊な意味を持つ文字が含まれていないか調べ、含まれていた場合はこれを削除したり別の文字列に変換(エスケープ)するといった処理を組み込む必要がある。
◆関連用語
データベース;Webサイト;プログラム;パラメータ;SQL;脆弱性;ユーザ;フォーム;アクセス




インセプト
「IT用語e-Words」
JLogosID : 7794884