HOME»情報セキュリティスペシャリスト平成25年秋期»午前Ⅱ 問15
情報セキュリティスペシャリスト平成25年秋期 午前Ⅱ 問15
問15
SQLインジェクション対策について,Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策の組合せとして,適切なものはどれか。
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
ウ
解説
バインド機構は、SQL文の中でユーザーの入力値を使用する部分に記号(プレースホルダと呼ばれる)を置いたSQL文のひな型を定義しておき、その記号の部分には、実行時にSQL文の特殊文字をエスケープした値を割り当てることで、不正なSQL文が実行されるのを防ぐ仕組みです。
また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行されるリスクが増すので、最小権限をもつアカウントで処理させることも重要な対策となります。
また、データベースを扱うWebアプリケーションに必要以上の権限が与えられていると、不正なSQL文が実行されるリスクが増すので、最小権限をもつアカウントで処理させることも重要な対策となります。
- OSコマンドインジェクション対策です。
- セッションハイジャック対策です。
- 正しい。SQLインジェクション対策です。
- ディレクトリトラバーサル対策です。