Q&A
質問作って投稿して回答待ってる間に動かせばわかることでは。 ひとまずDBの種類とバージョンは追記いただきたいところです。
下記、sqlで無事にsqlインジェクションに対して対策できているかどうか?
sql
1UPDATE order_items 2SET quantity=quantity+:new_quantity 3WHERE order_id=:order_id
既にある値に対して加算する場合
上記の様な、プレースホルダーの使い方で問題ないですよね?
※追記
mysqlの
バーション5.7.23
ためしてみればいいんじゃね
あと該当のPHPソースもご提示ください。
あとプレースホルダにする前に何かしら固定値でSQL作って試して想定通りの動作になることを確認していますか?
元に戻せるようデータベースのバックアップを行ってから実行すれば、自ずと結果が分かるのですけど、動かす環境がないのでしょうか?
DBの種類はmysql, バージョンは調べて後で追記しておきます。質問の文章が悪かったです。想定通りに動きはしていますが、sqlインジェクション的にどうかなと思い質問させて頂きました。
セキュリティの観点でどうかなと思ったのですが、コメント頂いているように、自身で調べれば分かることなので、調べてみたいと思います。調べて分かり次第、自己解決といたします。
前提、背景は具体的に書かないと「確認のため」だけでは質問者さん以外誰も知りませんよ。
失礼いたしました。質問の配慮が足りませんでした。
回答1件
0
自己解決
上記サイトを参考にさせて頂き、
自身でsqlインジェクションを行ってみました。
プレースホルダーを使用することによって、エラーが発生しましたので
ひとまず自己解決と致します。
気づいた点
- filter_inputで$_POSTを得ると自動的にシングルクォーテーションなどがエスケープされるのでこれによっても防げることが分かりました。
- そもそもプレースホルダーを使用した方が記述がラクになると思いました。そうでないと、実行するsql文に$_POSTの値を文字列連結しなければならないため。
記述ラク
php
1$sql_update = "UPDATE items 2SET stock=stock+:add_stock 3WHERE name=:name";
記述大変
php
1$sql_update = "UPDATE items 2SET stock=stock+" . $_POST['item_update_stock'] . " 3WHERE name='" . $_POST['item_name'] . "'";
以上により、
filter_inputとプレースホルダーは、
sqlインジェクションを防げるし、書きやすい。
コメント欄で、皆様に、ご助言頂いたお陰で自力で調べることが出来ました。ありがとうございました。
投稿2018/08/08 16:33
総合スコア210
あなたの回答
tips
プレビュー
