HOME»情報セキュリティスペシャリスト平成22年秋期»午前Ⅱ 問8
情報セキュリティスペシャリスト平成22年秋期 午前Ⅱ 問8
問8
SQLインジェクション攻撃を防ぐ方法はどれか。
- 入力から,上位ディレクトリを指定する文字列(../)を取り除く。
- 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字として解釈されないようにする。
- 入力にHTMLタグが含まれていたら,解釈,実行できないほかの文字列に置き換える。
- 入力の全体の長さが制限を超えていたときは受け付けない。
- [出題歴]
- 情報セキュリティ H19春期 問41
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
SQLインジェクション攻撃は、データベースを扱うアプリケーションのセキュリティ上の不備を悪用して、データベースシステムを不正に操作するSQL文を発行させる攻撃手法です。これを防ぐにはユーザーの入力値の中で、SQLにおいて特別な意味を持つ文字(単一引用符「'」やバックスラッシュ「\」など)を、無効化してからSQL文に組み込むことが重要かつ効果的な対策です。
- ディレクトリトラバーサル攻撃を防ぐ方法です。
- 正しい。
- クロスサイトスクリプティング(XSS)を防ぐ方法です。
- バッファオーバーフロー攻撃を防ぐ方法です。