フォームやURLパラメータに入力された値が、そのままデータベースへの命令(SQL)として解釈されてしまう脆弱性です。攻撃者は入力欄にSQLの断片を混ぜることで、本来許可されていない問い合わせをデータベースに実行させます。
会員情報やパスワード、注文履歴などの全データを抜き取られたり、改ざん・削除されたりします。認証を回避してログインされる、サーバを乗っ取られるなど被害は深刻で、個人情報漏洩事故の主要因の一つです。
入力値をプレースホルダ(プリペアドステートメント)で扱っているか、エラーメッセージにSQLが露出していないかを確認します。サイトドックの精密健診では、能動的な検査でこうした注入リスクの兆候を確認できます。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。
無料で健診する