地特三等申論題 113年 [資訊處理] 資通網路與安全

第一題

📖 題組：
針對 SQL 注入攻擊（SQL Injection），請回答下列問題：

📝 此題為申論題，共 2 小題

小題 (一)

請說明何謂 SQL 注入攻擊；並說明此攻擊的常見實務案例。（15 分）

解題時應先從 OSI 第七層應用層的安全威脅切入，明確定義 SQL 注入攻擊的核心原理（使用者輸入的『資料』被誤認為『程式碼』）。接著，舉出實務上最經典的『身分驗證繞過』及『聯合查詢/破壞性操作』案例，並輔以實際的 SQL 語法展示攻擊手法，以突顯對資安威脅機制的實務理解。

🤖

AI 詳解

AI 專屬家教

【破題】 SQL 注入攻擊（SQL Injection, SQLi）屬 OSI 模型第七層（應用層）之常見安全威脅，亦對應 MITRE ATT&CK 框架中「利用公開應用程式（T1190）」之技術。其核心在於攻擊者將惡意 SQL 指令夾帶於使用者輸入中，欺騙後端資料庫執行非預期的操作。【論述】

請說明使用預備語句（Prepared Statements）可以有效防止 SQL 注入攻擊的原因以及其運作原理。（10 分）

考生看到此題應先點出 SQL Injection 的根本成因是「外部資料被資料庫誤認為指令執行」。接著從「兩階段處理」切入，說明預備語句如何透過預先編譯（鎖定語法結構）與參數化綁定（將輸入純粹視為資料），達到指令與資料嚴格分離的防禦效果。

🤖

AI 詳解

AI 專屬家教

【破題】預備語句（Prepared Statements）能有效防止 SQL 注入攻擊的核心關鍵在於「參數化查詢（Parameterized Query）」機制，該機制將 SQL 指令的邏輯結構與外部輸入的資料嚴格分離，避免資料被誤認為程式碼執行。【論述】