SQLインジェクションとは、DB操作でよく使われるSQL構文を入力文字列として扱い、意図しないSQLを実行する攻撃です。
プレースホルダを使って指定するようアプリケーション開発を行い、その部分はあくまで値として処理され、SQL命令に関わるような特殊文字は無効化される処理が必要です。
Webアプリケーション サイバー攻撃 セキュリティ プログラミング