【SQLインジェクション(読み方:エスキューエルインジェクション)】
もしあなたがレストランの注文で「ハンバーグとポテト、ついでに店の在庫を全部見せて!」と注文できたら大変ですよね?SQLインジェクションは、Webサイトに悪いプログラム(SQL文)を混ぜて、データベースを不正に操作する攻撃のこと。個人情報が盗まれたり、Webサイトが壊されたりする危険があります。
もしあなたがレストランの注文で「ハンバーグとポテト、ついでに店の在庫を全部見せて!」と注文できたら大変ですよね?SQLインジェクションは、Webサイトに悪いプログラム(SQL文)を混ぜて、データベースを不正に操作する攻撃のこと。個人情報が盗まれたり、Webサイトが壊されたりする危険があります。
💡 面接でのベスト回答
想定質問:「SQLインジェクションについて教えてください」
面接官:SQLインジェクションについて説明してください。
私:SQLインジェクションとは、Webアプリケーションの脆弱性を利用し、悪意のあるSQL文を注入することでデータベースを不正に操作する攻撃手法です。
以前のプロジェクトでECサイトを構築した際、商品検索機能においてSQLインジェクションの脆弱性が存在していました。ユーザーが入力した検索キーワードをそのままSQL文に組み込んでいたため、悪意のあるユーザーが特殊な文字列を入力することで、データベースから機密情報を盗み出すことが可能な状態でした。
この問題を解決するために、入力値を適切にエスケープ処理(無害化)し、プリペアドステートメントを使用することでSQLインジェクション攻撃を完全に防ぐことができました。また、Webアプリケーションファイアウォール(WAF)を導入することで、SQLインジェクションを含む様々な攻撃からWebサイトを保護する対策を講じました。
現役エンジニアによる深掘り解説
メリット
攻撃者視点:データベース内の情報を不正に取得・改ざんできる。
攻撃者視点:Webサイトを改ざんし、マルウェアを仕込むことができる。
攻撃者視点:管理者権限を奪取し、サーバー全体を制御できる場合もある。
デメリット
開発者視点:適切な対策を講じないと、重大なセキュリティ事故につながる可能性がある。
開発者視点:対策には、入力値の検証、エスケープ処理、プリペアドステートメントの使用など、多岐にわたる知識が必要となる。
開発者視点:対策を怠ると、企業の信用を失墜させ、損害賠償請求につながる可能性もある。
⚠️ 面接突破のワンポイント
- SQLインジェクション対策について、具体的なコード例を交えて説明できるように準備しておきましょう。(例:PHPの`mysqli_real_escape_string()`、Pythonの`psycopg2.quote_literal()`など)
- SQLインジェクションの脆弱性診断ツール(例:OWASP ZAP, Burp Suite)の使用経験があれば、アピールポイントになります。
