情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和5年春期試験　午後Ⅰ試験【問1】についての投稿を受け付けるスレッドです。

PreparedStatement、問題文に思い切り書いててくれたからスペルミスの心配はないですね

引数にsql渡すの忘れた

stmt 生成箇所
正：con.preparedStatement(sql)
誤：con.createPreparedStatement(sql)

やってもた。。

まだ冊子を読んでませんが、書き込みの様子からするとプログラミングの設問が復活したみたいですね。

>ryuさん
あら、私もやらかしてますね…部分点くれないかなあ

>GinSanaさん
プログラムを読んで脆弱性を指摘する系の問題でした

ちなみにconではなくconnという罠がありました。
inOrderNoとorderNoもですね。

staticとnewがあった覚えがあります。
レースコンディション、最近テレビでやってたのが今日出るとは思わなかった。

prepared statementの問題、APIの仕様を推測しないと答えられないところにモヤモヤしました…
'stmt.executeQuery()'からしれっと'sql'変数を渡す部分が変わったから空欄dの中でsqlを使わなきゃいけないけど文中に出てくるプレースホルダ関連のAPIは"PreparedStatement psObj;"の変数宣言の部分だけだし、ここで'conn'を使わないと利用しない引数を取ることになるし、結局

"""
PreparedStatement stmt;
(省略) //  PreparedStatementの作成
"""

って書きました。2行目は図4のコメントを丸コピです。
複数行書けそうな回答欄もヒントなのかわからなくてモヤモヤした…

conとconnとか、きっと設問者が最近読んだソースにそういうごっちゃになったのがあって嫌な気分になったから出したんだろうなとか思っちゃいましたね  そういう行儀の悪いやつ、たまにいるんですよね

>たにとさん
そういう方向に変わったんですね。平成のときからはもう少し考えさせるように変わった気がしますね。

preparedStatementのくだりとシングルトンまわりが…

【設問1】
(1) a:13
(2) b:in (fileObjと迷ったが、ファイルが存在しない場合ってリソース確保しないよね と判断)
(3) c: WHERE head.order_no = ?  (念のため最初1文字分あけた)
    d:PreparedStatement stmt = conn.createPreparedStatement()  (いろいろ違ってた)
【設問2】
(1) e:orderNo
(2) f:static
(3) ★知らね★
(4) g:String orderNo  h:new  i:getOrderInfoBean(orderNo)
(5) j:得意先コード

設問1
(1)13
(2)in
(3) WHERE head.order_no = ?
(4)PreparedStatement stmt = conn.createPreparedStatement(sql)
設問2
(1)orderNo
(2)static
(3)同一ソースの上書き
(4)
g:String orderNo
h:new
i:getOrderInfoBean(orderNo)
(5)得意先コード

フェネさんと大体同じですね。設問1(4)と設問2(3)以外はまあ合ってそうかと。

ひとまず皆さんお疲れ様でした。
自分の回答も参考程度に載せておきます。
※  フェネさんとほぼ同じですね

■設問１
  (1) a. 13
  (2) b. fileObj
         ※  自信なし
  (3) c. WHERE head.order_no = ?
      d. PreparedStatement stmt = conn.createPreparedStatement(sql)
         ※  部分点欲しい。。
■設問２
  (1) e. orderNo
  (2) f. static
  (3) シングルスレッド
      ※  スレッドセーフの逆を意味する回答を書きたかったが思いつかず。。
  (4) g. String orderNo
      h. new
      i. getOrderInfoBean(orderNo)
      j. 得意先コード

ryuさんとだいたい同じですね、誤りどころも笑
備忘録がてら載せておきます

■設問１
  (1) a. 13
  (2) b. fileObj
          ※自信無し
  (3) c. WHERE head.order_no = ?
      d. PreparedStatement stmt = conn.createStatement(sql)
          ※誤（createStatement→prepareStatementかな？）
■設問２
  (1) e. orderNo
  (2) f. static
  (3) スレッドセーフでない実装
        ※誤
          正解はレースコンディション？？
  (4) g. String orderNo
      h. new
      i. getOrderInfoBean(orderNo)
      j. 得意先コード


最低３問は誤りかな・・・

当方の回答載せますが…

【設問1】
（1）13（8行目あたりでinOrderNoでSQLインジェクション起こってるな～と注視していたらすぐ見つかった）
（2）in（Fileはあくまでもファイルへのポインタ）
（3）cが「WHERE head.order_no = ?」（=の前後のスペースは省略可のはず。でWHEREの前のスペース、回答欄でどう示せば良いのかわからず…ダブルクオーテーションから書かせるのであれば" WHERE～と書けてすっきりしたのですが）
dはやってしまいました「PreparedStatement stmt = new PreparedStatement(sql)」これではどこのDBにつなげて良いかわからず迷子になってしまいます

【設問2】
（1）orderNo（訂正が入ったところですね。定義されているのは2行目）
（2）static（同じく2行目）
（3）静的変数不具合（これは全然わからなかった…個人的問1最難関問題）
（4）g「String orderNo」 h「new」 i「getOrderInfoBean(orderNo)」（この辺は当てはめ）
（5）得意先コード（最初の空欄を見て「利用者IDに紐付く得意先コード」まで書こうとしましたが次の空欄でけずりました）

個人的には実は業務で最近このあたりをいじっていたので割と親近感のある問題でした。
ただ1-3-dでやってしまったのが悔やまれます…

いま問題冊子見たんですが、ついにウン十字とかの記述（単語レベルを除く）がなくなったんだな、と思いましたね。なんかそういう方向に思考がいきがちです。
あるいみ解答がぶれないから入れ食いですな。

staticと書くところを
クラスのメンバー変数
としたらダメですかね？


と思って調べたらダメっぽいですね
staticやレースコンディションについて理解が足りてませんでした

iTecの解答速報（午後Ⅰ）出ましたねー
早速答え合わせしてきますかな……

staticのところ、静的変数って書いたら部分点くらいはくれますかね・・・
preparestateの綴り間違いだと部分点くらいくれますかね・・・

>staticのところ、静的変数って書いたら部分点くらいはくれますかね・・・
「10文字以内」ではなくて「【英字】10文字以内」と書いているので、さすがに
アルファベットでないとだめでしょう。

それに10文字以内とあるので、IPAのパターンとして、解答は暗に
6文字以上10文字以下に想定されます。「静的変数」は4文字なので、
文字数的にも少ないです。