Question

SQL インジェクション対策について、Web アプリケーションの実装における対策と Web アプリケーションの実装以外の対策として、ともに適切なものはどれか。(各選択肢は「実装における対策」「実装以外の対策」の組である)

Accepted Answer

実装における対策:プレースホルダを利用する。／実装以外の対策:データベースのアカウントがもつデータベースアクセス権限を必要最小限にする。。SQL インジェクション対策は、実装ではプレースホルダ(バインド機構)で SQL を組み立て、実装以外では DB アカウント権限を必要最小限にして被害を抑える。両方を満たすエが正しい。

Answer

実装における対策:Web アプリケーション中でシェルを起動しない。／実装以外の対策:chroot 環境で Web サーバを稼働させる。

Answer

実装における対策:セッション ID を乱数で生成する。／実装以外の対策:TLS によって通信内容を秘匿する。

Answer

実装における対策:パス名やファイル名をパラメタとして受け取らないようにする。／実装以外の対策:重要なファイルを公開領域に置かない。

Answer

実装における対策:プレースホルダを利用する。／実装以外の対策:データベースのアカウントがもつデータベースアクセス権限を必要最小限にする。