質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

2回答

3688閲覧

sql_query()関数を使ってPDOを使わないと

tixure55

総合スコア400

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2015/08/25 20:36

sql_query()関数を使ってPDOを使わないとセキュリティ的にまずいのでしょうか。いまいちその理由がわかりません。

sql_queryを使ってDBアクセスしてるwebシステムはURLにどのようなパラメータを入れられるとまずいのでしょうか。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

まず、PDOを使ってもセキュリティ的に問題のあるコードは書けてしまいます。
mysql_queryやmysql_connect等は非推奨になっており、今から使う理由は特に存在しませんが、安全なコードを書くことも可能です。

重要なのは、ユーザ由来のデータ(POSTやGETなどに限らず、ユーザ入力値を格納したDBのデータ等)静的プレースホルダを使わずにSQLを組み立てた場合、常にSQLインジェクションの危険性があるという事です。

SQLインジェクション参考URL

上記URLでも同様のことが書いてありますが書いてありますが、例えば、ログイン画面で

PHP

1mysql_query("SELECT * FROM user where username LIKE'".$_POST['user_id']."'. AND password LIKE '" $_POST['pw'] ); 2

みたいな感じでSQLを構築して
$_POST['user_id'] に tanat
$_POST['pw']に
a' or 1
という値を入れられると
SELECT * FROM user WHERE user_id LIKE 'tanat' AND password LIKE 'a' or 1
というSQLが実行されてしまうことになります。

このSQLでは最後に or 1 が条件として入っている=必ず条件に一致する
ため、パスワードもIDもわからなくてもログイン出来てしまうという状態になります。

この問題は、
ユーザからの入力値である ' or 1 のうち、
mysqlにおいて文法上の特別な意味を持つ文字である'(シングルクォート)が、
そのままSQLとして組み立てられてしまっているために発生する問題です。

これに対する最も正しいアプローチとして
静的プレースホルダ(PDOだとprepare()とbindparam(),bindvalue(),execute())を使用するという方法があります。
じれは文章構造を先に定義して、後からの値は全て特別な意味を持たない値として処理することが出来るため、原理上SQLインジェクションが不可能になります。

mysql_xxxx() 系関数では静的プレースホルダが使用出来ないため、
特別な文字列をただの文字列として扱うようにユーザ由来のデータについてはmysql_real_escape_string()を必ず通す必要があります。
ただし、特定の文字コード環境ではmysql_real_escape_stringも正常に働かないケースが存在します。

それもあり、PDOに利用が推奨されています。

投稿2015/08/25 21:18

tanat

総合スコア18709

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

こちらが参考になると思います。
http://www.ipa.go.jp/files/000017320.pdf
※どんなパラメータを入れられるとまずいのか(SQLインジェクションの具体例)は
P.9あたりで紹介されています。

その他の安全対策も掲載されております。ご一読ください。
http://www.ipa.go.jp/security/vuln/websecurity.html

投稿2015/08/25 21:17

Ken.sakanakana

総合スコア1768

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問