データベースを使用するWebサイトで、悪意あるSQLを挿入し、データベースの中身を抜き取ったり、全て削除してしまうなどの攻撃をする事です。
通常データベースは、SQLという命令語を使って、データを取り出します。
会員制のサイトでは、会員のIDとパスワードを入力すると、会員情報の閲覧や修正を行える物が多数ありますが、
これは、会員が入力した情報をSQLに組み込み、データベースに命令を行っている事になります。
所が、会員IDに悪意ある文字が書き込まれた場合、SQLインジェクションへの対策を施していないサイトでは、データベースへの命令分が操作されてしまいます。
例えば、データベースの中身を全部取ってこいという命令を出されたり、書き換えてしまったり、全てを削除されてしまったりします。
この攻撃を防ぐにはユーザが入力した情報をチェックし、決められたルールに従って特定の文字を変換する「サニタイジング」という処理が必要になります。
この記事を読んだ人におすすめの記事
- ライフハック(2008/08/29)
- マルウェア(2008/08/29)
- ファンクションポイント法(FP法)(2008/06/19)
コメントをどうぞ
※初回のみ、管理者の承認が必要となります。情報記事を探す
新着記事
悩み別に探す
タグで探す
ASPサービス ITアーキテクト RFP SE Webデザイン Web標準 クリエイティブブリーフ コンサルタント コーディング サポート業者 テクノロジー データベース トラブル バナー ビジネスパートナー リニューアル ワンストップ 仕様変更 動画 商談の流れ 契約 専用ソフト 手戻り 攻撃 素材 要件定義 見積もり
目的別に探す
規模別に探す
辞書
外注業者・サービス事典
ショップ運営支援 / メルマガ配信 / 決済 / 買い物かご / コンサルティング / 携帯サイト構築 / LPO最適化 / 販促 / Web制作・開発 / Webカタログ / 在庫管理
IT技術・用語集
英数字 / あ〜さ行 / た〜は行 / ま〜わ行
参考書
参考資料・TIPS集
TIPS
テクノロジー / CSS講座 / Fireworks講座 / デザインセオリー
参考資料
発注関連 / 契約関連