ＳＱＬインジェクションご存知ですか？　　　　　　　　　　　　　　　ー情報セキュリティ解説ー

１．ＳＱＬインジェクションとは

　　「ＳＱＬインジェクション」ご存知ですか？
　Web等から入力された条件で、ＤＢを検索・結果を次の処理に使ったり、
　画面表示するようなアプリは多くあります。
　例えば、通販サイトで商品名や値段などを入れて検索する、などです。
　　ＤＢに検索指示の多くはＳＱＬを使います。その為、ＤＢに検索する
　条件を（ＳＱＬで規定された形式で）指定してＤＢに渡します。
　Web等からこの検索条件に悪影響を与えるような情報を渡して、誤動作
　をさせようというものです。
　上手に使えば、ユーザ情報の一覧を抜いたりなどのような事件も
　起きています。
　
　　興味のある人は「Ａ．補足資料」に下記のurlを示していますので
　　参照してみてください。
　・顧客データがすべて盗まれる？！～OSやデータベースへの攻撃～
　　

２．ＳＱＬインジェクション対策

　　こわいですね。でも対策は出来ます。
　想定れない検索をするＳＱＬを作り出さなければいいんです。
　検索条件を指定させなければいいんです。