SQL Injection

提供: セキュリティ

2013年1月7日 (月) 23:13時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成：「意図しない SQL 文を入力され、データの改ざん、漏洩、破壊などを行う行為です。読み方 :SQL Injection ::えすきゅーえるいん...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)

移動: 案内、検索

スポンサーリンク

意図しない SQL 文を入力され、データの改ざん、漏洩、破壊などを行う行為です。

読み方

SQL Injection

えすきゅーえるいんじぇくしょん

目次

1 概要
2 被害
3 対策
4 関連情報

概要

アプリケーションが想定しない SQL 文を実行させられる。 SQL 文を挿入されることにより、データベースを不正の操作する攻撃手法のこと。

脆弱性問題の多くは、SQL Injection であるという報告があります。

被害

例

情報漏えい
情報の改ざん
システムコマンドの実行

顧客個人情報の管理に、RDB が利用されることが多く、攻撃の対象となり易い。
確実な対応がなされてない場合、クレジットカード情報などの情報が漏洩する。

対策

プログラム外から入力を元にSQL文を組み立てる場合は、prepqred statement / プレースホルダを利用して下さい。

関連情報

脆弱性

スポンサーリンク

「https://kaworu.jpn.org/security/index.php?title=SQL_Injection&oldid=8」から取得