WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： gucchi
カテゴリー： プログラム >セキュリティ

今回はSQLインジェクションを１分で理解できるようにざっくりと解説してみたいと思います。
※分かりやすいように書いているのであまり厳密な話ではありませんのでご承知おきください。

SQLインジェクションとは？

WEBサイトへの攻撃手法の１つです。
すべてのWEBサイトに通用するわけではありませんが、もしこの攻撃手法が通用するようなプログラムが動いていたりすると見せたくない情報を見られてしまったり、保存してある情報を破壊されてしまったりするというとっても危険なものです。

SQLって何？

データベースからデータを取り出したり登録したりするための命令の事です。

データベースって何？

データを登録しておくための入れ物です。
会員制WEBサイトなどの場合は会員情報を保存するのに使います。

インジェクションって何？

SQLを実行する行為のことです。

結局SQLインジェクションって何なの？

データベースを操作するための命令をブラウザから実行する行為の事です。
そう、システムのIDやパスワードを知っていてシステムにログインしてデータベースを操作するのではなく、プログラムの作り方次第で一般の方がWEBサイトを普通に見る時に使うブラウザからそのままデータベースの中身を見たり、消したりといった事が出来てしまうんです。
かなり危険ですね。。

まとめ

今回ご紹介したSQLインジェクションはかなりメジャーで危険性の高いものなので大方のプログラムでは対策が取られている事が多いのですが、もし対策が取られておらず悪意のある人に攻撃された場合、被害は甚大なものとなってしまいます。
そうならない為にも一度チェックされてみてはいかがでしょうか。

アイ・セプトでは『WEBサイト脆弱性診断』をしております。
詳しくはこちらから
http://www.i-cept.jp/news_release/detail/?id=93