SQLインジェクションとは

SQLインジェクションとは第三者がSQLコマンドを悪用してのDBへ不正にアクセスし、情報を改ざんしたりするサイバー攻撃のことです。

対策

対策は以下のやり方があるみたいです。

対策
SQL文の組み立ては全てプレースホルダで実装する{
SQL文の組み立てを文字列連結により行う場合は、エスケープ処理等を行うデータベースエンジンのAPIを用いて、SQL文のリテラルを正しく構成する。
ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない。
エラーメッセージをそのままブラウザに表示しない。
データベースアカウントに適切な権限を与える。

引用　https://www.jbsvc.co.jp/useful/security/sql-injection.html#:~:text=SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%AF%E3%80%81%E7%AC%AC,%E3%81%95%E3%82%8C%E3%82%8B%E3%82%B1%E3%83%BC%E3%82%B9%E3%81%8C%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82

SQLインジェクションの実演

こちらの動画のハッキングを紹介されていたのでよかったら見てください。

SQLインジェクションを扱っているUdemy

N + 1問題

DBで同じ問題で扱われます。よかったら目を通しておいてください。

資料