問題
SQL インジェクションの対策として、有効なものはどれか。
選択肢
- 1URL を Web ページに出力するときは、“http://”や“https://”で始まる URL だけを許可する。
- 2外部からのパラメータで Web サーバ内のファイル名を直接指定しない。
- 3スタイルシートを任意の Web サイトから取り込めるようにしない。
- 4プレースホルダを使って命令文を組み立てる。
正解
4. プレースホルダを使って命令文を組み立てる。
詳しい解説を見る解説を閉じる
解説
SQL インジェクションは、入力値に SQL 文の断片を混入させて不正な命令を実行させる攻撃である。対策としては、あらかじめ命令文の骨組みを用意し、値を埋め込む位置をプレースホルダ(バインド機構)で確定させてからパラメータを安全に渡す方法が有効で、エが正解。アはオープンリダイレクト対策、イはディレクトリトラバーサル対策、ウはクロスサイトスクリプティング等への対策に関連する内容で、SQL インジェクションの直接の対策ではない。(出典: 令和6年度 基本情報技術者試験 科目A 問10)
一問一答
科目A 180問+科目B 60問