ＳＱＬインジェクション

ＳＱＬインジェクションとは、正規のＷｅｂページのＦＯＲＭ（入力場所）に、想定しないＳＱＬ文を入力して実行されることにより、データベースシステムを不正に操作する手口です。

例えば電子商取引のページでは、利用者に商品名や検索条件などを入力させて、次に表示するページを生成しています。それを行うには、背後にデータベースを用いたシステムがあります。ＳＱＬとは、データベースを操作する言語です。
　商品名や検索条件を入力すべきところ、ＳＱＬ文を入力することにより、本来のシステムが想定していない処理を行わせることができます。それにより、
　　・データベースの内容を取り出す（顧客情報など）
　　・データベースの内容を改ざんする（価格表など）
　　・Ｗｅｂページ自体を改ざんする
などの不正行為を行います。

この不正入力を悪意のある者が自分で直接行うこともありますが、クロスサイト・スクリプティングなどの手口を用いて、善意の第三者に代行させることが多いのです。

ＳＱＬインジェクションへの対処には、
　　・Ｗｅｂページ作成時に、ＦＯＲＭでの入力チェックを厳格に行うようにすること
　　・データベースシステムへのアクセス制限を設けること
など、システム設計時から対策を講じる必要があります。 　このように入力文字列をチェックして拒否したり無害な文字列に置き換えたりすることをサニタイジング（Sanitizing）といいます。