SQLエスケープを適用することで、入力されたデータに含まれる特殊文字やメタ文字を適切に処理し、SQLコードとして解釈されることを防ぎます。これにより、攻撃者が意図しないSQLコードを挿入することを防ぐことができます。
以下に、一般的なプログラミング言語でのSQLエスケープの実装例を示します。
例1: PHPでのSQLエスケープ
$userInput = $_POST['username'];
$escapedInput = mysqli_real_escape_string($connection, $userInput);
$query = "SELECT * FROM users WHERE username = '$escapedInput'";例2: PythonでのSQLエスケープ
import psycopg2
from psycopg2 import sql
user_input = input("Enter username: ")
escaped_input = sql.Identifier(user_input)
query = sql.SQL("SELECT * FROM users WHERE username = {}").format(escaped_input)例3: JavaでのSQLエスケープ (PreparedStatementを使用)
String userInput = request.getParameter("username");
String query = "SELECT * FROM users WHERE username = ?";
PreparedStatement statement = connection.prepareStatement(query);
statement.setString(1, userInput);これらの例では、データベースに渡す前にユーザー入力を適切にエスケープしています。特殊文字やメタ文字がエスケープされた文字列を使ってクエリを構築することで、SQLインジェクション攻撃を防ぐことができます。
この記事では、SQLエスケープの基本的な使い方といくつかのプログラミング言語での具体的な実装例を紹介しました。適切なSQLエスケープを行うことで、データベースのセキュリティを向上させることができます。