本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

SQLインジェクション

SQLインジェクションは、入力値に不正なSQLを混ぜ、データベースを意図しない形で操作させる攻撃です。

別名・関連表記:SQL Injection

もう少し詳しく

ログインフォームや検索欄などの入力値をSQL文に直接連結すると、攻撃者がSQLの構文を混ぜ込んで認証回避、情報漏えい、データ改ざんを狙えます。対策はプレースホルダを使ったパラメタ化クエリ、入力値検証、DB権限の最小化などです。

試験での見方

黒猫の闇の刻印

FEでは、利用者入力がSQL文の一部として実行される危険、対策としてプレースホルダやエスケープ処理を選ばせる問題で出ます。

ID欄に通常のIDではなくSQLの条件式を混ぜると、脆弱なプログラムではWHERE句の意味が変わり、不正ログインにつながることがあります。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:セキュリティ実装技術

関連トピック:試験制度

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DDoS攻撃・標的型攻撃 DNS キャッシュポイズニング IP スプーフィング OS コマンドインジェクション セッションハイジャック 情報セキュリティ CSRF XSS 認可 認証

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ