解説 解説要約 ソフトウェアが外部からの入力内容を上位コンポーネントを通じて使用し、その内容からSQLコマンドを構築している場合において、意図しているSQLコマンドを改ざんできてしまう特殊な要素を、適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。 詳細な解説 ユーザからの入力に含まれる SQL 構文に対する除去や引用符の処理が十分でないと、生成された SQL クエリにおいて、入力が通常のデータではなく SQL として解釈されてしまう可能性があります。これは、クエリのロジックを変えてセキュリティチェックを回避する、あるいは新たなステートメントを挿入してバックエンドのデータベースを改ざん(場合によってはシステムコマンドを実行)するのに利用される可能性があります。 SQL インジェクションは、データベースと連動する Web サイトによく見られるようになりました。本脆弱性は、