法律コンビニ!街の法律家として皆様のお役に立ちたい。

行政書士と情報セキュリティ⑮

行政書士と情報セキュリティ⑮(SQLインジェクション)
 行政書士と情報セキュリティ⑮(SQLインジェクション)

 IDとパスワードを知らなくても、SQLインジェクションを行うことにより、データベースを操作できる。

 SQLインジェクションとは、SQLコマンドを直接データベースの入力欄に入力することにより、データベースにアクセスすることである。

 SQLインジェクションを防ぐためには、エスケープ処理(Webサーバに送信された入力データの特殊な文字列をあらかじめ別の文字列に置き換えておくこと。)をすることが必要である。

 ショツピングサイトを運営するためには、エスケープ処理は必須である。エスケープ処理をしないと、会員情報が漏洩したり、webが改ざんされたりする場合がある。

 会計処理業務などの大量のデーター処理を行う行政書士事務所は、SQLインジェクション対策を万全にしなければならないことは言うまでもない。

2021/8/16