ＳＱＬインジェクション

ＳＱＬインジェクションとは、正規のＷｅｂページのＦＯＲＭ（入力場所）に、想定しないＳＱＬ文を入力して実行されることにより、データベースシステムを不正に操作する手口です。

例えば電子商取引のページでは、利用者に商品名や検索条件などを入力させて、次に表示するページを生成しています。それを行うには、背後にデータベースを用いたシステムがあります。ＳＱＬとは、データベースを操作する言語です。
　商品名や検索条件を入力すべきところ、ＳＱＬ文を入力することにより、本来のシステムが想定していない処理を行わせることができます。それにより、
　　・データベースの内容を取り出す（顧客情報など）
　　・データベースの内容を改ざんする（価格表など）
　　・Ｗｅｂページ自体を改ざんする
などの不正行為を行います。

この不正入力を悪意のある者が自分で直接行うこともありますが、クロスサイト・スクリプティングなどの手口を用いて、善意の第三者に代行させることが多いのです。

ＳＱＬインジェクション対策

入力文字列をチェックして拒否したり無害な文字列に置き換えたりすることをサニタイジング（Sanitizing）といいます。ここでは、ＳＱＬインジェクション対策としたサニタイジングの代表的なものを掲げます。

• プレースホルダの利用
  プレースホルダとは、単純にいえば「ひな形」のことです。 パラメタ部分を「?」などの記号で示したＳＱＬ文を定義しておき、利用者にはパラメタの値だけを入力させるようにします。
• バリデーション
  利用者はパラメタの値を入力するだけだとしても、パラメタに細工をすることで、悪意のＳＱＬ文が生成させることができます。それを防ぐためには、入力項目は「数値列」「電話番号」など形式をして、その条件に合致しない入力は受け付けないようにします。
• エスケープ処理
  利用者にＳＱＬ文の入力を許可する場合、リテラル内で特別な意味を持つ記号文字をエスケープ処理することにより無効化さなす。