質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.27%

  • PHP

    15633questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    4548questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • Ajax

    829questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    377questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ajaxとPHPを利用したMySQL操作のセキュリティアドバイスが欲しい

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 158

gucha

score 26

AjaxからPHPにPOSTし、PHPでMySQLにデータ登録をする簡単なコードを作りました。
SQLインジェクションについて調べたりしたのですが、いくつか疑問が出てきたので質問させてもらいます。
こちらのサイトなどを参考にしました。
https://blog.ohgaki.net/complete-sql-injection-counter-measure

コード内容は
ボタンを押したらデータベースに+1カウントされるという内容です。
AjaxでPOSTする内容はデータベースのカラム[インデックス]に対応する固有の数字で、
数字は4桁までを想定しています。

インジェクション対策を2つ作ってみました。
1つ目は受け取った文字列が5文字以上のものをはじきます。
2つ目は文字列の数値化です。数値にならなかったものをはじきます。

疑問
1.AjaxからPOSTされたデータは全て文字列になると思っていますが合っていますか?

2.またその文字列をstrlen()で条件分けするまでに、割り込まれたりするケースはありますか?以下のコードでは変数なども事前に使っていません。

<?php
if($_SERVER["REQUEST_METHOD"] == "POST"){ // postチェック
  try {
    $num = $_POST['int1']; // ajaxから受け取った値。4桁以下の数値を想定

    if(strlen($num) < 5){ //対策① 5文字以上を弾く

      $num = $num - 0; // int化
      if(is_int($num) && $num != 0){ //対策② int化されていたら

      $pdo = new PDO('mysql:host=localhost; dbname=DB; charset=utf8','root','',
      array(PDO::ATTR_EMULATE_PREPARES => false));
      $stmt = $pdo->prepare("SELECT cnt FROM btn where idx = ?");
      $stmt->bindValue(1, $num, PDO::PARAM_INT);
      $stmt->execute();
      // postされた数値にあうデータを取得

      $result = $stmt->fetch();
      $cnt = $result['cnt'];

      if(is_int($cnt)){ // インクリメントして更新するので一応確認
        $cnt++;
        $st = $pdo->prepare("UPDATE btn SET cnt=? WHERE idx=?");
        $st->execute(array($cnt, $num));
        $pdo = null;
        $stmt = null;
        }
      }
    }
  } catch (PDOException $e) {
    exit('データベース接続失敗。'.$e->getMessage());
    die();
  }
  die();
}
?>

PHPの経験が浅いのでコード間違いなどもあれば教えて欲しいです。
よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+3

インジェクションの方については、ここまでしてあれば大きな問題は生じないでしょう(filter_inputを使う、配列がPOSTされた場合のハンドリングなど、何点か改良できる点もありますが)。

それより問題なのは排他制御のほうで、SELECTUPDATEの間に別の接続からcntを更新しようとすると、値が矛盾してしまいます。トランザクションを行ってもいいのですが、UPDATE btn SET cnt=cnt+1 WHERE idx=?の1文で済ませる、という方法も考えられます(更新されたかは、PDOStatement::rowCountの値でチェックすることになります)。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/10 08:02

    同時POSTなどで正しく加算されないということでしょうか?
    そのようなことにも気づかず質問して良かったです。
    トランザクションというワードは初耳なので勉強してきます。

    キャンセル

  • 2018/01/10 08:21

    (正常終了時にdieしているのは突っ込んではいけないことなのね)

    キャンセル

  • 2018/01/11 03:56

    (突っ込んで頂きありがとうございます。私がdieしました。)

    キャンセル

checkベストアンサー

+2

SQLインジェクション対策としては申し分ないと思います(参考記事の方針とはかなり違うようですが、あまり参考になさらなかったのでしょうか?)が、以下のポイントがあります。

1) 例外を捕捉しよう
今のままですと、DB接続時以外の例外を捕捉しない状況です。例外はあり得ることですので、以下を追加すべきです。

 $pdo = new PDO('mysql:host=localhost; dbname=DB; charset=utf8','root','',
      array(PDO::ATTR_EMULATE_PREPARES => false,
            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
            PDO::MYSQL_ATTR_MULTI_STATEMENTS => false));

2) 複文を禁止するオプションを指定しよう
上記で、最後のオプション MYSQL_ATTR_MULTI_STATEMENTS は、PDOで「複文」を禁止するオプションです。詳しくは下記の記事を参照ください。

PDOに複文実行を禁止するオプションが追加されていた

3) チェックに引っかかった場合のエラー処理
現在のプログラムだと、if (チェック) ... の else節がないので、チェックでエラーになった場合は何もしない仕様ですが、エラー表示するとか、ログにエラーを書き込むなど処理をするべきでしょう。

4) エラー表示
エラーの内容を画面表示するのはそもそもよくありませんが、仮に表示するのであれば、XSS対策すべきです。このスクリプトではおそらく大丈夫ですが、状況によってはエラーメッセージ経由でのXSSとなります。

exit('データベース接続失敗。'. htmlspecialchars($e->getMessage()));

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/11 05:58

    PDO::ATTR_EMULATE_PREPARES => false,
    PDO::MYSQL_ATTR_MULTI_STATEMENTS => false
    追加しました。

    エラーをテキストとして出力するような簡単なコードを作ってみました。
    このようなエラーメッセージだけを記録するような場合ではXSSは回避できると考えて大丈夫でしょうか?
    (管理しやすいように他にも情報を受け取ったりする場合は対策が必要)

    } catch (PDOException $e) {
    $log = date('Y-m-d H-i-s').'.txt';
    $err = $e->getMessage();
    file_put_contents($log, $err);
    }

    キャンセル

  • 2018/01/11 07:26

    はい。それでXSSは防げますが、このようなよく使う処理は関数やメソッドにした方が良いと思います。あるいは、PHPのerror_log関数を使う手もあります。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.27%

関連した質問

同じタグがついた質問を見る

  • PHP

    15633questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    4548questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • Ajax

    829questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    377questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。