(FE)H30年春 問41

SQLインジェクション攻撃による被害を防ぐ方法はどれか。

 入力された文字が, データベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。

 入力に HTML タグが含まれていたら, HTML タグとして解釈されない他の文字列に置き換える。

 入力に上位ディレクトリを指定する文字列(../)が含まれているときは受け付けない。

 入力の全体の長さが制限を超えているときは受け付けない。

解説を読む


正解:ア

解説:
SQLインジェクション攻撃はデータベースの操作言語であるSQLを検索窓等を利用して実行し本来は出力されないデータを出力させてしまう攻撃方法です。被害を防ぐ方法としては特別な意味を持つ文字として解釈されないようにするサニタイジング(エスケープ)処理が有効とされます。

ア.正解です。上記解説もご参照ください。

イ.クロスサイトスクリプティング対策としてのサニタイジング処理です。

ウ.ディレクトリトラバーサル対策の説明です。

エ.バッファオーバーフロー攻撃対策の説明です。

解説を閉じる

コメント