セキュリティ誤り発見
SQLインジェクション対策に関する記述のうち、誤っているものはどれか。
A.ユーザが入力した文字列を検証・サニタイズし、SQLの特殊文字をエスケープすることは有効な対策である。
✓ この記述は正しい。入力値のエスケープ処理はSQLインジェクション対策として基本かつ有効な手法である。
B.プリペアドステートメント(バインド変数)を使用することで、SQL文の構造と入力データを分離でき、SQLインジェクションを防止できる。
✓ この記述は正しい。プリペアドステートメントはSQL文の骨格を固定して入力値をパラメータとして扱うため、SQLインジェクションを根本的に防止できる。
C.Webアプリケーションファイアウォール(WAF)は、不正なSQLを含むリクエストを検知・遮断する対策として有効である。
✓ この記述は正しい。WAFはHTTPリクエストを解析して不正なSQLパターンを含むアクセスをブロックする対策として有効である。
D.データベースへの接続に管理者権限のアカウントを使用することで、SQLインジェクション攻撃の影響範囲を最小化できる。← 正解
✓ 正解です。この記述が誤りで、正しくは管理者権限アカウントを使用すると攻撃成功時の影響範囲が最大化してしまう。最小権限の原則に基づき、アプリケーション専用の限定的な権限を持つアカウントを使用すべきである。