このブラウザは、JavaScript が無効になっています。JavaScriptを有効にして再度、お越しください。
新規登録
ログイン
ログイン
ログインID
パスワード
次回から自動ログイン
パスワード再発行
Principle
Policy & Design
Operation
Counter Measure
About Us
TOP
Terminology
Links
▲
Security Terminology
Security Terminology
>> コンテンツ詳細
用語
SQLインジェクション
概要
SQL Injection
入力値チェックが不十分な入力フォームにSQL片を挿入(Injection)することにより、意図しない出力を行わせるような手法。
例えば、ユーザーIDとパスワードが入力されるような画面において、入力値をそのままSQLに渡しているとすると、
SELECT * FROM user WHERE userid='
input_password';
の入力値としてパスワードに「'or'A'='A」を入力することにより、
SELECT * FROM user WHERE userid='USERID'
AND password=''or'A'='A';
と、表の全件が走査されるようにSQLが偽造されてしまう。
対策としては、入力値チェックをサーバ側で行うこと、また入力された文字の中にRDBMSが利用する特殊文字が含まれているかの確認と、その除去/無害化の処理を行うことが挙げられる。さらにWebアプリケーションファイアウォール(WAF)を併用することでより高いセキュリティを実現することができる。
フリガナ
エスキ
ホームページ
http://
資料
記入者:
secu
Powered by NetCommons2
The NetCommons Project
