オリジナル模擬試験1 問35
問35解説へ
SQLインジェクション攻撃を防ぐ方法はどれか。
- 入力から,上位ディレクトリを指定する文字列(../)を取り除く。
- 入力中の文字がデータベースへの問合せや操作において,特別な意味を持つ文字として解釈されないようにする。
- 入力にHTMLタグが含まれていたら,解釈,実行できないほかの文字列に置き換える。
- 入力全体の長さが制限を超えていたときは受け付けない。
広告
解説
SQLインジェクションは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法です。
この攻撃を防ぐには、ユーザー入力値の中でSQL上特別な意味を持つ記号文字を、普通の文字として解釈されるようにするエスケープ処理を行ったり、バインド機構を利用するなどの対策が必要です。
この攻撃を防ぐには、ユーザー入力値の中でSQL上特別な意味を持つ記号文字を、普通の文字として解釈されるようにするエスケープ処理を行ったり、バインド機構を利用するなどの対策が必要です。
- ディレクトリトラバーサル攻撃への対処法です。
- 正しい。
- XSS(クロスサイトスクリプティング)への対処法です。
- バッファオーバーフロー攻撃への対処法です。