SQL インジェクションについて

> SQLインジェクションっていうのは、例えばログイン画面で「ユーザー名」と > 「パスワード」のテキストボックスがあったとして不正アクセスを起こす恐 > れがある文字を入力して攻撃するような事をいうんでしょうか？ ログイン画面があるということは、ログインのユーザーを管理している何かがあるわけです。 その何かが『データベース』です。 データベースはイメージ的にいうと、Excelのように表形式に情報を蓄積できる入れ物のようなものです。 そして情報を必要とし、データベースから情報を抽出しようとするとき、SQL文というものを利用します。 それが先に述べたものになり、SQL文はただの文字列です。 さて、ではログイン画面では何が必要でしょうか？ 真っ先に思いつくのは『入力されたユーザーＩＤ、パスワードが、その組 み合わせでデータベースに登録されているか』になります。 ブラウザからユーザーＩＤなどが入力され、ログインボタンなどが押された時、 サーバ側では、入力された値を受け取って、画面に見合った処理を行い、 結果をブラウザへ返します。 画面に見合った処理というのは先に述べた、『入力されたユーザーＩＤ、パス ワードが、その組み合わせでデータベースに登録されているか』で、 データベースから情報を取得する必要がありますから、サーバ側の処理として SQLを発行するように仕組みがされています。 しかし、ユーザーＩＤなどに、悪意のある値が入力されていた時、 意図しないSQLが発行されてしまい、システムが破壊される恐れがあります。 これがSQLインジェクションになります。（ここまでは既にお分かりかと思います） SQLインジェクションは、意図しないSQLが発行されてしまう事ですから、 外的要因によって発行前に作成されるSQL文が意図しないものへと壊れてしまう脆弱性のことになります。 外的要因とはブラウザ上から任意で入力されるテキストボックスなどが主にそれにあたります。 しかしながら <input type="hidden" name="abc_flg" value="1" /> こんなHTMLがあったとして、発行されるSQLとして SELECT * FROM TEST WHERE ABC_FLG = ? ?にabc_flgのvalueが利用されてSQLが作られるとしたら、 そのページを一度ファイル保存して、先のHTMLを <input type="hidden" name="abc_flg" value="ABC_FLG" /> と書き換えてしまって動作させるとSQLは SELECT * FROM TEST WHERE ABC_FLG = ABC_FLG となってしまいます。 この例だとABC_FLGがABC_FLGであることは当然ですから、 データベースに蓄積されている全ての情報が取得されてしまいます。 ですから、画面上には非表示だから問題ない、というわけではありません。 代表的な回避方法としては ・SQLに影響のある、ブラウザから受け取ったデータは、 　JavaScriptなどでクライアント側でチェックしていたとしても 　必ずサーバ側でもチェックを行う。 　（ブラウザで入力時にはＯＫでも、サーバとの通信経路などで 　入力値が改ざんされる恐れがある為） ・SQLの条件式をちゃんとシングルクォーテーションで囲む 　×SELECT * FROM TEST WHERE ABC_FLG = 1 　○SELECT * FROM TEST WHERE ABC_FLG = '1' 　（「1」は外的要因によって変化） ・SQLの文法上利用している記号などは、SQLを生成する前にエスケープする 　エスケープすると、文法上の記号でない事になる 　×SELECT * FROM TEST WHERE ABC = 'あ'いうえお' 　○SELECT * FROM TEST WHERE ABC = 'あ''いうえお' 　（「あ'いうえお」は外的要因によって変化。「''」で 　文法上の記号でない、抽出条件としての「'」を表している） ・Shift_JISの文字コードを利用しない。 　詳しくはこちら↓ 　http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html