経営情報システム出題頻度 2/3
SQLインジェクション
えすきゅーえるいんじぇくしょん
定義
Webアプリケーションの入力欄に不正なSQL文を挿入し、データベースを不正に操作する攻撃手法。
詳細解説
SQLインジェクションは入力値の検証が不十分なWebアプリケーションの脆弱性を突く攻撃。データの不正取得、改ざん、削除、認証の迂回などが可能となる。対策にはプリペアドステートメント(プレースホルダ)の使用、入力値のエスケープ処理、WAFの導入、最小権限の原則によるデータベースアカウント管理がある。IPAの安全なウェブサイトの作り方でも重要な脆弱性として挙げられている。
関連用語
よくある質問
Q. SQLインジェクションとは何ですか?
A. Webアプリケーションの入力欄に不正なSQL文を挿入し、データベースを不正に操作する攻撃手法。
Q. 中小企業診断士試験での位置づけは?
A. 経営情報システムの重要用語です。出題頻度は 2/3 (★2)。 中程度の頻度で出題されます。