質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

Q&A

解決済

2回答

552閲覧

ajaxとPHPを利用したMySQL操作のセキュリティアドバイスが欲しい

gucha

総合スコア55

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

0グッド

2クリップ

投稿2018/01/09 22:45

AjaxからPHPにPOSTし、PHPでMySQLにデータ登録をする簡単なコードを作りました。
SQLインジェクションについて調べたりしたのですが、いくつか疑問が出てきたので質問させてもらいます。
こちらのサイトなどを参考にしました。
https://blog.ohgaki.net/complete-sql-injection-counter-measure

コード内容は
ボタンを押したらデータベースに+1カウントされるという内容です。
AjaxでPOSTする内容はデータベースのカラム[インデックス]に対応する固有の数字で、
数字は4桁までを想定しています。

インジェクション対策を2つ作ってみました。
1つ目は受け取った文字列が5文字以上のものをはじきます。
2つ目は文字列の数値化です。数値にならなかったものをはじきます。

疑問
1.AjaxからPOSTされたデータは全て文字列になると思っていますが合っていますか?

2.またその文字列をstrlen()で条件分けするまでに、割り込まれたりするケースはありますか?以下のコードでは変数なども事前に使っていません。

PHP

1<?php 2if($_SERVER["REQUEST_METHOD"] == "POST"){ // postチェック 3 try { 4 $num = $_POST['int1']; // ajaxから受け取った値。4桁以下の数値を想定 5 6 if(strlen($num) < 5){ //対策① 5文字以上を弾く 7 8 $num = $num - 0; // int化 9 if(is_int($num) && $num != 0){ //対策② int化されていたら 10 11 $pdo = new PDO('mysql:host=localhost; dbname=DB; charset=utf8','root','', 12 array(PDO::ATTR_EMULATE_PREPARES => false)); 13 $stmt = $pdo->prepare("SELECT cnt FROM btn where idx = ?"); 14 $stmt->bindValue(1, $num, PDO::PARAM_INT); 15 $stmt->execute(); 16 // postされた数値にあうデータを取得 17 18 $result = $stmt->fetch(); 19 $cnt = $result['cnt']; 20 21 if(is_int($cnt)){ // インクリメントして更新するので一応確認 22 $cnt++; 23 $st = $pdo->prepare("UPDATE btn SET cnt=? WHERE idx=?"); 24 $st->execute(array($cnt, $num)); 25 $pdo = null; 26 $stmt = null; 27 } 28 } 29 } 30 } catch (PDOException $e) { 31 exit('データベース接続失敗。'.$e->getMessage()); 32 die(); 33 } 34 die(); 35} 36?>

PHPの経験が浅いのでコード間違いなどもあれば教えて欲しいです。
よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

インジェクションの方については、ここまでしてあれば大きな問題は生じないでしょう(filter_inputを使う、配列がPOSTされた場合のハンドリングなど、何点か改良できる点もありますが)。

それより問題なのは排他制御のほうで、SELECTUPDATEの間に別の接続からcntを更新しようとすると、値が矛盾してしまいます。トランザクションを行ってもいいのですが、UPDATE btn SET cnt=cnt+1 WHERE idx=?の1文で済ませる、という方法も考えられます(更新されたかは、PDOStatement::rowCountの値でチェックすることになります)。

投稿2018/01/09 22:54

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gucha

2018/01/09 23:02

同時POSTなどで正しく加算されないということでしょうか? そのようなことにも気づかず質問して良かったです。 トランザクションというワードは初耳なので勉強してきます。
退会済みユーザー

退会済みユーザー

2018/01/09 23:21

(正常終了時にdieしているのは突っ込んではいけないことなのね)
gucha

2018/01/10 18:56

(突っ込んで頂きありがとうございます。私がdieしました。)
guest

0

ベストアンサー

SQLインジェクション対策としては申し分ないと思います(参考記事の方針とはかなり違うようですが、あまり参考になさらなかったのでしょうか?)が、以下のポイントがあります。

  1. 例外を捕捉しよう

今のままですと、DB接続時以外の例外を捕捉しない状況です。例外はあり得ることですので、以下を追加すべきです。

PHP

1 $pdo = new PDO('mysql:host=localhost; dbname=DB; charset=utf8','root','', 2 array(PDO::ATTR_EMULATE_PREPARES => false, 3 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, 4 PDO::MYSQL_ATTR_MULTI_STATEMENTS => false));
  1. 複文を禁止するオプションを指定しよう

上記で、最後のオプション MYSQL_ATTR_MULTI_STATEMENTS は、PDOで「複文」を禁止するオプションです。詳しくは下記の記事を参照ください。

PDOに複文実行を禁止するオプションが追加されていた

  1. チェックに引っかかった場合のエラー処理

現在のプログラムだと、if (チェック) ... の else節がないので、チェックでエラーになった場合は何もしない仕様ですが、エラー表示するとか、ログにエラーを書き込むなど処理をするべきでしょう。

  1. エラー表示

エラーの内容を画面表示するのはそもそもよくありませんが、仮に表示するのであれば、XSS対策すべきです。このスクリプトではおそらく大丈夫ですが、状況によってはエラーメッセージ経由でのXSSとなります。

PHP

1exit('データベース接続失敗。'. htmlspecialchars($e->getMessage()));

投稿2018/01/10 04:53

編集2018/01/10 04:54
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gucha

2018/01/10 20:58

PDO::ATTR_EMULATE_PREPARES => false, PDO::MYSQL_ATTR_MULTI_STATEMENTS => false 追加しました。 エラーをテキストとして出力するような簡単なコードを作ってみました。 このようなエラーメッセージだけを記録するような場合ではXSSは回避できると考えて大丈夫でしょうか? (管理しやすいように他にも情報を受け取ったりする場合は対策が必要) } catch (PDOException $e) { $log = date('Y-m-d H-i-s').'.txt'; $err = $e->getMessage(); file_put_contents($log, $err); }
ockeghem

2018/01/10 22:26

はい。それでXSSは防げますが、このようなよく使う処理は関数やメソッドにした方が良いと思います。あるいは、PHPのerror_log関数を使う手もあります。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問