用語集

SQLインジェクション(SQL Injection)

データベースアクセスのためにSQL文を用いるプログラムにおいては、SQL文を構成する際、プログラム中の式の値をSQL文に埋め込む場合には、引用符で括られる文字列について、引用符が含まれているならばそれをエスケープ処理しなければならない。これを怠ると、正当なデータに対してSQL文の実行がエラーとなる不具合が生じる。このバグが悪意ある者によって与えられ得る文字列を扱う箇所に存在すると、それはセキュリティ上の脆弱性となる。攻撃者が悪意あるコマンドを与えると、データベースの内容を改ざんされたり、情報を盗み出されるなどの被害が生じる。このような攻撃をSQLインジェクション攻撃と呼び、その原因箇所を同脆弱性と呼ぶ。
(出典:独立行政法人情報処理推進機構 用語集 技術コース標準編/専門編 https://www.ipa.go.jp/files/000013473.pdf)