‘<accountName>’; 問題はSQL が制御とデータを区別しないこと • 攻撃 Smith’ or ‘1’=‘1 • 実際に発行されるクエリー SELECT * FROM user_data WHERE last_name =‘Smith’ or ‘1’ =‘1’; 26 or ‘1’ =‘1’が加えられることでWHERE句が真になり、SELECT * FROM user_data;を発行すると同じ効果となる 参考:hKp://jvndb.jvn.jp/ja/cwe/CWE-89.html