SQLインジェクション攻撃に対抗する際に,最も重要なのは企業のWebサイトの対策だ。サイト開発時にWebアプリケーションにSQLインジェクションのぜい弱性を作らないことが第一である。 そのためにはWebアプリケーションがデータベースに不正なSQLを渡さないよう,Webサイトの実装を工夫する必要がある。例えばデータベースでバインド機構を利用する,データベースに渡すSQLに適切なエスケープ処理を施すといった対策が有効だ(図1)。 こうした対策を実施するのは,技術的にはさほど難しくない。しかし,インターネット上にはSQLインジェクションのぜい弱性を残したWebサイトが今でも多数存在する。試しにSQLインジェクション攻撃を受けたWebサイトに特有の文字列をGoogleで検索してみると,改ざんされたWebサイトが多数検出できる(図2)。これは,対策の必要性や手法をすべての開発者に教育するのが非常に難
![Webサイト開発時の対策が最も重要](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)