SQLインジェクション

特徴

  • SQLインジェクションとは、Webサイトでユーザが入力したデータの中にデータベースを操作できる特殊文字や記号を埋め込んで、Webアプリケーションを介してデータベースを不正に操作する攻撃
  • SQLインジェクションへの対策を以下に示す。
    • Webアプリケーションプログラムの実装における対策
      • 特殊文字や記号を無害化(エスケープ処理)
      • 特殊文字や記号をプレースホルダ(バインド機構)を用いて単なる文字列として処理
    • Webアプリケーションプログラムの実装以外の対策
      • Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする

過去問

情報処理安全確保支援士試験 令和元年度 秋期 午前2 問17

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問17(一部、加工あり)】

SQLインジェクション対策について、Webアプリケーションプログラムの実装における対策と、Webアプリケーションプログラムの実装以外の対策として、ともに適切なものはどれか。

  1. (ア)
    →OSコマンドインジェクションへの対策です。
  2. (イ)
    →セッションハイジャックへの対策です。
  3. (ウ)
    →ディレクトリトラバーサルへの対策です。
  4. (エ)
    →正解

前の記事

EAP-TLS

次の記事

DNSSEC