オリジナル模擬試験1 問35

問35

SQLインジェクション攻撃を防ぐ方法はどれか。
  • 入力から,上位ディレクトリを指定する文字列(../)を取り除く。
  • 入力中の文字がデータベースへの問合せや操作において,特別な意味を持つ文字として解釈されないようにする。
  • 入力にHTMLタグが含まれていたら,解釈,実行できないほかの文字列に置き換える。
  • 入力全体の長さが制限を超えていたときは受け付けない。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

SQLインジェクションは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法です。

この攻撃を防ぐには、ユーザ入力値の中でSQL上特別な意味を持つ記号文字を、普通の文字として解釈されるようにするエスケープ処理を行ったり、バインド機構を利用するなどの対策が必要です。
  • ディレクトリトラバーサル攻撃への対処法です。
  • 正しい。
  • XSS(クロスサイトスクリプティング)への対処法です。
  • バッファオーバーフロー攻撃への対処法です。
© 2010-2021 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop