情報セキュリティスペシャリスト平成24年春期 午前U 問16

問16

SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして,ともに適切なものはどれか。
  • 16.gif/image-size:502×212

            
  • [出題歴]
  • 安全確保支援士 R1秋期 問17
  • 安全確保支援士 R5春期 問17
  • 情報セキュリティ H21秋期 問14
  • 情報セキュリティ H25秋期 問15
  • 情報セキュリティ H27春期 問17
  • 情報セキュリティ H28秋期 問17
  • 安全確保支援士 H30春期 問17

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

バインド機構は、SQL文の中でユーザーの入力値を使用する部分に記号(プレースホルダと呼ばれる)を置いたSQL文のひな型を定義しておき、その記号の部分には、実行時にSQL文の特殊文字をエスケープした値を割り当てることで、不正なSQL文が実行されるのを防ぐ仕組みです。

また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行されるリスクが増すので、最小権限をもつアカウントで処理させることも重要な対策となります。
  • OSコマンドインジェクション対策です。
  • セッションハイジャック対策です。
  • 正しい。SQLインジェクション対策です。
  • ディレクトリトラバーサル対策です。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop