SQLインジェクションという言葉が流通し始めたのは15年ほど前でしょうか。有名なサイトの個人情報が抜き取られ、そのことで閉店にまで追い込まれたところもありました。
現在はデータベースをバックエンドとするWebアプリケーションは、このSQLインジェクションの対策が施されていて当然です。
しかし、僅か数年前にSQLインジェクションの対策が全く施されていないWebアプリケーションに遭遇しました。
単に対策が施されていないだけではなく、シングルクォートを入力するとご丁寧に実行しているプログラム名がブラウザに表示されてしまうというもの。
他にもとんでもない設定になっていましたが、あまりにも酷いので記載することは控えます。
Webアプリケーションに関わる人たちは以下のIPAの資料を必ず読むべきです。
安全なウェブサイトの作り方