今日の Web アプリケーション開発では、SQL ベースの RDBMS と連携した事例が、たいへん日常的となっています。 そのせいか、最近になって頻繁に見かけるようになったのが SQL Injection です。 正式には、Direct SQL Command Injection と呼ばれています。
これは、フォームなどの入力時に不正な文字列 ( SQL 文 ) を打ち込み、それを Web 経由で受け取ったデータベース・サーバが完全なパラメータ値として処理せずに SQL コマンドとしてそのまま実行してしまうという、データベース・サーバを標的としたセキュリティ脆弱性です。 フォームなどに不正な文字列を入力するといった点で、クロスサイト・スクリプティング脆弱性のクラッキング手法とよく似ています。

SQL Injection は、クロスサイト・スクリプティング脆弱性と同様、パラメータ値の入力チェック ( Input Validation ) を正しく処理していないことが原因となって発生します。
例えば、「フォーム上で入力した値にシングル・クォーテーション ( ' ) が含まれていると、SQL エラーが返ってくる」といった現象が発生するような場合は、特に要注意です。

<%@ page contentType="text/html; charset=Shift_JIS" %> <%@ page import="java.util.*, java.sql.*, javax.sql.*, javax.naming.*" %> <% // データソースの取得 Context ctx = new InitalContext(); DataSource sample = (DataSource)ctx.lookup("java:/comp/env/jdbc/myDatabase"); // データベースの検索 Connection conn = sample.getConnection(); Stamement stmt = conn.createStatement(); String country = request.getParameter("country"); String selectSql = "SELECT * FROM profile WHERE country = '" + country + "'"; ResultSet profiles = stmt.executeQuery(selectSql); %>

検索結果

JDBC ドライバには、java.sql.PreparedStatement という API が標準で用意されています。
この API を利用すると、プリコンパイルされた SQL ステートメントにパラメータ値をセットするよう処理されるため、シングル・クォーテーション ( ' ) などの特殊文字のエスケープ処理が不要になるどころか、パラメータ値が SQL コマンドとして機能される心配はまずありません。 なお、SQL パラメータ値をバインドする内部処理のメカニズムは、JDBC ドライバの実装に依存します。
JSTL では、java.sql.PreparedStatement を用いて SQL ステートメントを発行するように設計されています。

<%@ page contentType="text/html; charset=Shift_JIS" %> <%@ taglib prefix="c" uri="http://java.sun.com/jstl/core" %> <%@ taglib prefix="sql" uri="http://java.sun.com/jstl/sql" %> <%-- データソースの取得 --%> <%-- データベースの検索 --%> SELECT * FROM profile WHERE country = ?

検索結果

• セキュアデータベースプログラミング - SQL 組み立て時の引数チェック ( 情報処理振興事業協会 )
• SQL Injection FAQ ( SQLSecurity.Com )
• SQL Injection 白書 [ PDF ] ( SPIDynamics.Com )
• Input Validation - Direct SQL Command Injection ( OWAS Project )