データベースを利用するWebサイトにおいて、想定されていない構文を入力してSQLを実行させることで、プログラムを誤動作させ不正にデータベースのデータを入手したり、改ざんしたりする攻撃。
対策としては、バインド機構を使用したり、特別の意味を持つ記号がユーザの入力した文字列の中に入っていた場合、別の文字に置き換える処理(エスケープ処理)を追加したり、Webアプリケーションに特化したファイアウォール(WAF)を導入したりする。
【バインド機構】
あらかじめ用意されているSQL命令文のひな型の構文解析を先に済ませておき、ユーザが入力する部分である「プレースホルダ」(”?”などの特殊文字)は、あくまでもデータとして取り扱うことでSQL命令文を完成させる方法のこと。