本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

SQLインジェクション対策(プレースホルダほか)

SQLインジェクション対策は、利用者入力をSQL文として不正に解釈させないための防御策です。

もう少し詳しく

代表的な対策はプレースホルダやプリペアドステートメントを使い、入力値をSQL文の一部として連結しないことです。入力チェックやエスケープも補助的に使われますが、文字列連結でSQLを組み立てる設計自体を避けることが重要です。

試験での見方

黒猫の闇の刻印

SQLインジェクション対策では、パスワード暗号化や通信暗号化ではなく、SQL文の組立て方に注目します。「プレースホルダ」「バインド変数」「プリペアドステートメント」が正答になりやすいです。

例:"SELECT * FROM users WHERE id = " + 入力値 のように連結せず、WHERE id = ? として値を後からバインドします。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:セキュリティ実装技術

関連トピック:アプリケーションセキュリティ

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

Web システムのセキュリティ対策 クロスサイトスクリプティング対策 コンテナセキュリティ セキュアプログラミング バッファオーバーフロー対策

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ