SQLインジェクションとは何か、どう防ぐのか？

Question

Accepted Answer

**SQLインジェクション**とは、攻撃者がユーザー入力を通じて悪意のあるSQLを挿入し、データベースクエリを操作してデータを盗んだり、認証を回避したり、データを破壊したりする脆弱性です。最も危険で典型的なWeb脆弱性の一つですが、適切な手法で防止できます。

## SQLインジェクションの仕組み

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

攻撃者の入力はデータではなく**SQLコード**として扱われ、クエリを書き換えることができます（ログインの回避、全データの抜き取り、テーブルの削除）。

## 防止策：パラメータ化クエリ（主要な対策）

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**パラメータ化クエリ（プリペアドステートメント）**はSQLコードとデータを分離します。入力は決してSQLとして解釈されません。これが主要で信頼できる防御策です。

## 追加の防御策

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## なぜ重要なのか

SQLインジェクションとは何か、どう防ぐのかを理解することは不可欠です。これは**最も危険で典型的、かつ一般的なWeb脆弱性の一つ**（OWASPのインジェクションカテゴリの一部）でありながら、完全に防止可能だからです。そのためデータベースを扱うあらゆる開発者にとって必須のセキュリティ知識です。

**仕組みを理解すること**は脆弱性を認識し回避するために必要です。ユーザー入力を直接SQLクエリに連結すると、攻撃者は**SQLコードを注入**でき（入力がデータではなくコードとして扱われる）、認証を回避し（`' OR '1'='1`）、全データを抜き取り、さらにはテーブルを削除（`'; DROP TABLE`）することさえ可能になります。

SQLインジェクションは壊滅的な被害をもたらしうる（完全なデータ侵害、データ破壊、認証回避）ため、極めて重要です。

**防止策を理解すること**は不可欠です。**パラメータ化クエリ（プリペアドステートメント）**は主要で信頼できる対策であり、**SQLコードとデータを分離する**ため、ユーザー入力は決してSQLとして解釈されないリテラル値として扱われ、インジェクションを不可能にします。

これはすべての開発者が使うべき第一の防御策です。

**追加の防御策を理解すること**は包括的な予防を反映しています。ORM／クエリビルダーの利用（これらはパラメータ化を行うが、生の連結で回避しないこと）、多層防御としての入力検証（ただしパラメータ化の代替ではない）、最小権限のデータベースアカウント、詳細なエラー情報の露出回避、そして**ユーザー入力を決してクエリに連結しない**という鉄則です。

SQLインジェクションは深刻な結果（データ侵害、データ損失、認証回避）を伴う危険で一般的かつ典型的な脆弱性でありながら、パラメータ化クエリで完全に防止可能です。また、その仕組みと防止方法を理解することはデータベースを扱うあらゆる開発者にとって不可欠です。したがってSQLインジェクションとその防止策を理解することは、不可欠で必須のセキュリティ知識であり、理解し防御すべき基本的な脆弱性です。そのシンプルで信頼できる対策（パラメータ化クエリ）は、最も損害の大きい攻撃の一つを防ぐ重要な知識です。