SQLインジェクションとは、WebサイトやWebアプリケーションのセキュリティ上の脆弱性を悪用する攻撃手法のひとつです。
対策が適切でない場合、対象サイト・アプリケーションのURLやフォームに悪意のあるSQL文を入力・実行することで、データベースを不正に操作することが可能になります。
不正に操作された結果、機密情報の漏洩や、データの改竄、システムに対する権限を取得されてしまう可能性があります。
対策として、入力値の適切なチェック(バリデーション)やエスケープ処理、パラメータ化されたクエリ(プレースホルダを使用したクエリ)の使用、データベースへのアクセス権限を最低限に制限するなどが重要です。