SQL インジェクションえすきゅーえるいんじぇくしょん

SQL インジェクションは、Web フォームなどの入力にゅうりょく欄らんに SQL文の断片だんぺんを注入ちゅうにゅうし、想定そうてい外がいのデータベース操作そうさを行おこなわせる攻撃こうげきです。

被害ひがい	対策たいさく
会員かいいん情報じょうほうの漏ろうえい	プレースホルダ（バインド変数へんすう）
データの改かいざん・削除さくじょ	入力にゅうりょく値ちのエスケープ
認証にんしょうの回避かいひ	最小さいしょう権限けんげんの DB アカウント・WAF

たとえばログイン欄らんに特殊とくしゅな文字もじ列れつを入いれて、本来ほんらい見みえないはずの会員かいいんデータを引ひき出だすような攻撃こうげきです。最もっとも確実かくじつな対策たいさくはプレースホルダを使つかったパラメータ化かクエリで、入力にゅうりょく値ちを SQL 文ぶんとして解釈かいしゃくさせないことです。

試験しけんでは SQL インジェクションが「入力にゅうりょく欄らんに SQL を注入ちゅうにゅうする攻撃こうげき」で、対策たいさくがプレースホルダ・入力にゅうりょく値ち検証けんしょう・WAF である点てんが問とわれます。