sqlインジェクションの回避について

http://localhost/hoge/Hoge.php?no=1 or+1%3d1%23

とすると、テーブルの全部のレコードが表示されてしまいます。

lang
1$dsn = sprintf(
2                    'mysql:host=%s;dbname=%s;charset=utf8;port=3306;charset=utf8',
3                    DB_HOST,
4                    DB_NAME);
5                    $option = array(
6                        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
7                        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
8                        PDO::ATTR_EMULATE_PREPARES => false
9                    );
10
11                    $this->db = new PDO($dsn,DB_USER, DB_PASS,$option);
12

としているのですが、対策があれば教えてください。なお、sql文では、bindValue関数で変数をバインドしてあります。.htaccessでURLを書き換えるしかないでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

no としては、整数値の入力が想定されているのでしょうか？
のであれば、bindValue での引数に PDO::PARAM_INT を付けるなどしていますでしょうか？
または、
$no = intval($no); のように、整数にキャストする方法もあるかとは思います。
もう少し情報が欲しいところです。
実際にどういう SQL を、どう作って発行していますか？

投稿2015/06/12 14:01

takotakot

総合スコア1111

tixure55

2015/06/12 14:29

takotakotさん、回答ありがとうございます。 PDO::PARAM_INTをつけて、$no = intval($no);でキャストしてみましたが、やはり、症状は同じようです。下のようにsqlを作っております。 try{ $to = $_SESSION['AITE']; $post_id = $_SESSION['no']; $post_id = intval($post_id); $sql = $this->db->prepare("SELECT * FROM comment_table where rcv_mem_id=:to or pst_mem_id=:to order by post_id desc limit 20"); }catch(Exception $e){ die($e->getMessage()); } $sql->bindParam(':to',$to, PDO::PARAM_INT); //$stmt = $pdo->prepare($sql); $sql->execute();

tixure55

2015/06/12 14:44

別のファイルをみていました。intvalとすることで、解決できました。