Web
SQLインジェクション
中級読み方:エスキューエルインジェクション|英語:Sql Injection
データベースへの問い合わせに悪意のあるSQL文を混入させる攻撃。入力値の検証で防ぐ。
やさしい説明
SQLインジェクションは、入力欄にSQL文を混ぜてデータベースを不正に操作する攻撃です。
ログインフォームに特殊な文字列を入力するだけで、パスワードなしでログインできてしまうことがあります。
具体例・使い方
入力欄に ' OR 1=1 -- と入力 → 全ユーザーのデータが取得される
対策:プレースホルダ(?)を使い、入力値を直接SQL文に埋め込まない
よくある疑問
Q: SQLインジェクションを防ぐには?
A: プレースホルダ(パラメータ化クエリ)を使い、ユーザー入力を直接SQL文に埋め込まないようにします。