HOME»情報セキュリティスペシャリスト平成21年秋期»午前U 問14
情報セキュリティスペシャリスト平成21年秋期 午前U 問14
問14
SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして,適切なものはどれか。
- [出題歴]
- 安全確保支援士 R1秋期 問17
- 情報セキュリティ H24春期 問16
- 情報セキュリティ H25秋期 問15
- 情報セキュリティ H27春期 問17
- 情報セキュリティ H28秋期 問17
- 安全確保支援士 H30春期 問17
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
ウ
解説
- OSコマンドインジェクション対策です。
- セッションハイジャック対策です。
- 正しい。SQLインジェクション対策です。
バインド機構は、SQL文中のユーザ入力を割り当てる部分にプレースホルダと呼ばれる特殊文字(?など)を使用したひな形を用意し、後から実際の値を割り当てる手法です。後から割り当てる値は、SQL文の特殊文字がエスケープされた完全な数値または文字列として扱われるため安全に実行することができます。
またデータベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行される可能性が高まるため最小権限をもつアカウントで処理させることも重要な対策となります。 - ディレクトリトラバーサル対策です。