別称:SQL Injection、ダイレクトSQLコマンド・インジェクション(Direct SQL Command Injection) 概要 † 攻撃者によって悪意のあるSQLクエリーを実行、不正にデータ操作される脆弱性。リレーショナル・データベース上のデータを不正に書き換えられたり、読み出されたりします。データ破壊や情報漏えいの危険があります。 原因 † フォームやURLのクエリ文字列など、外部から入力されたデータを使ってSQL文を組み立てる処理に問題があります。次の例はPerlによるものですが、入力データをSQL文に埋め込む処理の基本的な形としては、どの処理系でも同じようなものになるでしょう。 $value = CGI::param("profile"); $sql = "UPDATE USERS SET PROFILE = '$value' WHERE ID = 1"; この処理で