[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
>SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。
SQLに別のSQL文が「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」もしくは「SQL注入」と呼ばれることもある。
SQLインジェクション攻撃への対策|脆弱性を悪用する仕組みと具体例
>しかし、C#の例と同様に「’or’1’=’1」を使うことでユーザ認証を回避できます。
WHERE user=’USER01′ and pass=”PASSWORD1”or’1’=’1′;
>同じように、以下のようなSQL文を使うことでデータの消去も可能です。
name’; DELETE FROM items; SELECT * FROM items WHERE ‘a’=’a
データをまるっと消してしまうこともできるのか。それは対策するしかないな。
https://blogs.mcafee.jp/sql-injection-prevention