情報セキュリティ(全127問中90問目)
No.90解説へ
SQLインジェクションの説明はどれか。
出典:平成24年秋期 問40
- Webアプリケーションに問題があるとき,データベースに悪意のある問合せや操作を行う命令文を入力して,データベースのデータを改ざんしたり不正に取得したりする攻撃
- 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
- 市販されているDBMSの脆弱性を利用することによって,宿主となるデータベースサーバを探して自己伝染を繰り返し,インターネットのトラフィックを急増させる攻撃
- 訪問者の入力データをそのまま画面に表示するWebサイトに対して,悪意のあるスクリプトを埋め込んだ入力データを送ることによって,訪問者のブラウザで実行させる攻撃
広告
解説
SQLインジェクション(SQL Injection)は、Webアプリケーションに対してデータベースへの命令文を構成する不正な入力データを与え、Webアプリケーションが想定していないSQL文を意図的に実行させることで、データベースを破壊したり情報を不正取得したりする攻撃です。
SQLインジェクションは、入力値の中でSQLとして特別な意味を持つ文字を適切にエスケープすることや、SQL文中の変数部分にプレースホルダを割り当てることで防ぎます。DBMSやライブラリによってはエスケープ処理が自動化されているものもあり有用です。
SQLインジェクションは、入力値の中でSQLとして特別な意味を持つ文字を適切にエスケープすることや、SQL文中の変数部分にプレースホルダを割り当てることで防ぎます。DBMSやライブラリによってはエスケープ処理が自動化されているものもあり有用です。
- 正しい。SQLインジェクションの説明です。
- クロスサイトリクエストフォージェリの説明です。
- SQL Slammerなどのセキュリティホールを突いて感染を広げるタイプのワームの説明です。
- クロスサイトスクリプティングの説明です。
広告