Question

SQLインジェクション対策について，Webアプリケーションプログラムの実装における対策と，Webアプリケーションプログラムの実装以外の対策の組みとして，適切なものはどれか。〔表：行ア＝（実装における対策）Webアプリケーションプログラム中でシェルを起動しない。/（実装以外の対策）chroot環境でWebサーバを稼働させる。 行イ＝（実装における対策）セッションIDを乱数で生成する。/（実装以外の対策）TLSによって通信内容を秘匿する。 行ウ＝（実装における対策）パス名やファイル名をパラメータとして受け取らないようにする。/（実装以外の対策）重要なファイルを公開領域に置かない。 行エ＝（実装における対策）プレースホルダを利用する。/（実装以外の対策）Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする。〕

Accepted Answer

プレースホルダを利用する。／Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする。。SQLインジェクション対策では，実装上はプレースホルダ（バインド機構）を利用してSQL文の構造を固定することが最も有効です。実装以外では，データベースアカウントの権限を必要最小限にし，攻撃成功時の被害を限定することが対策となります。他の選択肢はOSコマンドインジェクションやディレクトリトラバーサルなど別の脆弱性への対策です。

Answer

Webアプリケーションプログラム中でシェルを起動しない。／chroot環境でWebサーバを稼働させる。

Answer

セッションIDを乱数で生成する。／TLSによって通信内容を秘匿する。

Answer

パス名やファイル名をパラメータとして受け取らないようにする。／重要なファイルを公開領域に置かない。

Answer

プレースホルダを利用する。／Webアプリケーションプログラムが利用するデータベースのアカウントがもつデータベースアクセス権限を必要最小限にする。