IT terminology

SQL injection is an attack technique that manipulates a database and breaches security by injecting malicious SQL queries.

SQL injection [SQLインジェクション]

　SQLインジェクションは、不正な SQLクエリをウェブアプリケーションのデータベースに送信することによって、セキュリティを侵害する攻撃技術の一つです。この攻撃を利用することで、攻撃者はデータベースから機密情報を読み取ったり、データを改ざん、削除することが可能になります。また、場合によってはシステムの管理権限を奪うことも可能です。

　SQLインジェクションの攻撃は、ウェブアプリケーションがユーザーからの入力を適切に検証またはサニタイズせずに、その入力を SQLクエリの一部としてデータベースに直接渡す場合に発生します。例えば、ログインフォームのユーザー名やパスワードの入力値に悪意のある SQL文を挿入することで、認証を回避したり、データベースに格納されている他のユーザーの情報を取得することができます。

　SQLインジェクションを防ぐためには、アプリケーション側でユーザー入力の検証とサニタイズを徹底する、プレースホルダーやパラメタライズされたクエリを使用する、最小限のデータベース権限をアプリケーションに与える、などの対策が有効です。