データベースが危ない！SQLインジェクションの仕組みと防壁【ITパスポート】

3行まとめ

• Webサイトの入力フォームに不正な「SQL命令」を紛れ込ませる攻撃。
• ITパスポート試験では、最新のセキュリティ対策（サニタイジング等）として頻出。
• データベース内の全情報が盗まれたり、改ざんされたりする重大な脅威。

シラバス上の位置付け

• テクノロジ系 / 7.セキュリティ / 22.情報セキュリティ / (2)情報セキュリティの脅威

試験での出題ポイント

試験では、「どのような仕組み（シングルクォーテーションの挿入など）で攻撃が行われるか、およびその対策」が問われます。

1. 仕組み: ID/Pass入力欄に「’ or 1=1 —」などの命令を入力し、認証を突破する。
2. サニタイズ: 入力された「‘」や「;」などの特殊文字を無効化する。
3. プレースホルダ: あらかじめ実行するSQLの雛形を作り、入力値を後から安全に入れ込む（最も推奨される対策）。

【AIハック】生成AIで最速暗記

AIを使って「SQLインジェクションのデモ」を視覚化。

プロンプト例:

「あるログイン画面で、パスワードを入れなくてもログインできてしまう『SQLインジェクション』という攻撃の仕組みを、金庫の鍵を盗まずに『ドアの鍵自体を開けっ放しにする魔法の呪文』に例えて、100文字以内で回答してください。」

まとめ・次のステップ

データベースの保護はWebサービスの命です。 次は、さらに広範囲な防御策である「クロスサイトスクリプティング（XSS）」との違いを整理しましょう。