選択肢
- ア.URLをWebページに出力するときは,"http://"や"https://"で始まるURLだけを許可する。
- イ.外部からのパラメタでWebサーバ内のファイル名を直接指定しない。
- ウ.スタイルシートを任意のWebサイトから取り込めるようにしない。
- エ.プレースホルダを使って命令文を組み立てる。
正解
エ. プレースホルダを使って命令文を組み立てる。
解説
SQL インジェクション対策の本命は、SQL 文の組立てにプレースホルダ(バインド変数)を用いて入力値をデータとして扱わせる方法です。エが正解。
選択肢ごとの解説
- ア.URL スキーム制限はオープンリダイレクトや XSS 対策で、SQL インジェクション対策ではありません。
- イ.ファイル名の直接指定回避はパストラバーサル対策で、SQL インジェクションとは別です。
- ウ.スタイルシートの取り込み制限は XSS/CSP の話で、SQL インジェクション対策ではありません。
- エ.プレースホルダによる SQL 文構築、SQL インジェクションの最も有効な対策で正解です。
基本情報技術者試験 令和6年度 科目A 公開問題 の過去問一覧へ戻る・問10