トップ過去問一覧応用情報技術者 平成20年・秋 > 問73
問73

SQLインジェクション攻撃を防ぐ方法はどれか。

○正解
×不正解

入力値から、上位ディレクトリを指定する文字(../)を取り除く。

入力値から、データベースへの間合せや操作において特別な意味をもつ文字を解釈されないよう保護する。

入力値にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。

入力値の全体の長さが制限を超えていたときは受け付けない。

解説

SQLインジェクション対策には、SQL文に含める入力値のサニタイジングをします。サニタイジングとは、SQL文において特殊な意味をもつ文字(シングル/ダブルクオートなど)をエスケープすることです。

 

>入力値から、上位ディレクトリを指定する文字(../)を取り除く。

ディレクトリトラバーサルの対策です。

 

>入力値にHTMLタグが含まれていたら、解釈、実行できないほかの文字列に置き換える。

クロスサイトスクリプティングの対策です。

無料学習システムはこちら
→間違えた問題を繰り返し学習
→分野別学習
→模擬試験モード
デモサイト
無料ユーザ登録

問題文や解説文の内容の正確性については、できるかぎりチェックをしていますが、間違いがある可能性があります。 十分ご注意の上、参考までにご利用ください。