SQL Injectionとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > デジタル大辞泉 > SQL Injectionの意味・解説 

エスキューエル‐インジェクション【SQLインジェクション】


SQLインジェクション

【英】 SQL Injection

脆弱性含んだスクリプトに対してパラメータ不正なSQL文を渡すことでデータベース操作する攻撃。この攻撃をされると、通常ではアクセスできないようなテーブルデータ出力したり、データ消去改ざんなどの被害を受ける

脆弱性のあるスクリプトの例:

$user_id = $_POST['user_id'];

$sql = "SELECT * FROM t_customer WHERE user='$user_id'";

このようなスクリプト対し、user_idとして

';DELETE FROM t_customer ;

という値を渡されると、t_customerテーブルの全データ消えてしまう。

この脆弱性回避するためには、ユーザからの入力に対してエスケープ処理を施す、などの適切な処理が必要となる。PHPには既に、多くデータベース関数中に適切なエスケープを施す関数用意されている。

関連Webサイト


SQLインジェクション

読み方エスキューエルインジェクション
別名:ダイレクトSQLコマンド・インジェクション
【英】SQL injection

SQLインジェクションとは、Webサイトリクエストを送るHTTPパラメータSQL命令含ませることで、SQL採用しているデータベース直接アクセスして不正操作を行う攻撃手法のことである。インジェクションとは「注入」「挿入」といった意味である。

SQLインジェクションを利用することによって、外部第3者データベース情報アクセスし、情報の不正閲覧改ざんを行うことができるようになってしまう。データベーステーブルフィールド項目名指定できれば操作できてしまうため、比較ポピュラー攻撃手法とされている。

セキュリティのほかの用語一覧
ネットワーク攻撃:  リバースブルートフォース攻撃  論理爆弾  SYNフラッド攻撃  SQLインジェクション  SAMAS  SAMSAM  サイバーテロ

SQLインジェクション

(SQL Injection から転送)

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/09/21 11:06 UTC 版)

SQLインジェクション: SQL injection)とは、アプリケーションセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。


  1. ^ Blind SQL Injection white paper”. 2011年7月6日閲覧。
  2. ^ MySQL 5.1 Reference Manual - 9.1.1 String Literals”. 2014年12月8日閲覧。
  3. ^ 異なる文字集合への変換がぜい弱性につながる”. 2011年7月6日閲覧。
  4. ^ 増田覚 (2007年12月12日). “丸紅インフォのカード情報漏洩、原因はSQLインジェクション対策の不備”. INTERNET Watch (インプレス). https://internet.watch.impress.co.jp/cda/news/2007/12/12/17844.html 2020年11月4日閲覧。 
  5. ^ 不正アクセスによるお客様個人情報漏洩のお詫びとご報告 コーエーテクモホールディングス株式会社 2010年7月20日。
  6. ^ JPCERT / CCによる注意喚起
  7. ^ Internet Watch - SQLインジェクションの復旧コスト、1億円超える事例も~IPAが報告書、2006年11月29日。
  8. ^ NRIセキュア - Webサイトのセキュリティ診断:傾向分析レポート2008、2008年7月28日。


「SQLインジェクション」の続きの解説一覧

「SQL Injection」の例文・使い方・用例・文例

Weblio日本語例文用例辞書はプログラムで機械的に例文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「SQL Injection」の関連用語

SQL Injectionのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



SQL Injectionのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
PHPプロ!PHPプロ!
©COPYRIGHT ASIAL CORPORATION ALL RIGHTS RESERVED.
IT用語辞典バイナリIT用語辞典バイナリ
Copyright © 2005-2024 Weblio 辞書 IT用語辞典バイナリさくいん。 この記事は、IT用語辞典バイナリSQLインジェクションの記事を利用しております。
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのSQLインジェクション (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
Tanaka Corpusのコンテンツは、特に明示されている場合を除いて、次のライセンスに従います:
 Creative Commons Attribution (CC-BY) 2.0 France.
この対訳データはCreative Commons Attribution 3.0 Unportedでライセンスされています。
浜島書店 Catch a Wave
Copyright © 1995-2024 Hamajima Shoten, Publishers. All rights reserved.
株式会社ベネッセコーポレーション株式会社ベネッセコーポレーション
Copyright © Benesse Holdings, Inc. All rights reserved.
研究社研究社
Copyright (c) 1995-2024 Kenkyusha Co., Ltd. All rights reserved.
日本語WordNet日本語WordNet
日本語ワードネット1.1版 (C) 情報通信研究機構, 2009-2010 License All rights reserved.
WordNet 3.0 Copyright 2006 by Princeton University. All rights reserved. License
日外アソシエーツ株式会社日外アソシエーツ株式会社
Copyright (C) 1994- Nichigai Associates, Inc., All rights reserved.
「斎藤和英大辞典」斎藤秀三郎著、日外アソシエーツ辞書編集部編
EDRDGEDRDG
This page uses the JMdict dictionary files. These files are the property of the Electronic Dictionary Research and Development Group, and are used in conformance with the Group's licence.

©2024 GRAS Group, Inc.RSS