sql_query()関数を使ってPDOを使わないとセキュリティ的にまずいのでしょうか。いまいちその理由がわかりません。
sql_queryを使ってDBアクセスしてるwebシステムはURLにどのようなパラメータを入れられるとまずいのでしょうか。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答2件
0
まず、PDOを使ってもセキュリティ的に問題のあるコードは書けてしまいます。
mysql_queryやmysql_connect等は非推奨になっており、今から使う理由は特に存在しませんが、安全なコードを書くことも可能です。
重要なのは、ユーザ由来のデータ(POSTやGETなどに限らず、ユーザ入力値を格納したDBのデータ等)静的プレースホルダを使わずにSQLを組み立てた場合、常にSQLインジェクションの危険性があるという事です。
上記URLでも同様のことが書いてありますが書いてありますが、例えば、ログイン画面で
PHP
1mysql_query("SELECT * FROM user where username LIKE'".$_POST['user_id']."'. AND password LIKE '" $_POST['pw'] ); 2
みたいな感じでSQLを構築して
$_POST['user_id'] に tanat
$_POST['pw']に
a' or 1
という値を入れられると
SELECT * FROM user WHERE user_id LIKE 'tanat' AND password LIKE 'a' or 1
というSQLが実行されてしまうことになります。
このSQLでは最後に or 1 が条件として入っている=必ず条件に一致する
ため、パスワードもIDもわからなくてもログイン出来てしまうという状態になります。
この問題は、
ユーザからの入力値である ' or 1 のうち、
mysqlにおいて文法上の特別な意味を持つ文字である'(シングルクォート)が、
そのままSQLとして組み立てられてしまっているために発生する問題です。
これに対する最も正しいアプローチとして
静的プレースホルダ(PDOだとprepare()とbindparam(),bindvalue(),execute())を使用するという方法があります。
じれは文章構造を先に定義して、後からの値は全て特別な意味を持たない値として処理することが出来るため、原理上SQLインジェクションが不可能になります。
mysql_xxxx() 系関数では静的プレースホルダが使用出来ないため、
特別な文字列をただの文字列として扱うようにユーザ由来のデータについてはmysql_real_escape_string()を必ず通す必要があります。
ただし、特定の文字コード環境ではmysql_real_escape_stringも正常に働かないケースが存在します。
それもあり、PDOに利用が推奨されています。
投稿2015/08/25 21:18
総合スコア18709
0
こちらが参考になると思います。
http://www.ipa.go.jp/files/000017320.pdf
※どんなパラメータを入れられるとまずいのか(SQLインジェクションの具体例)は
P.9あたりで紹介されています。
その他の安全対策も掲載されております。ご一読ください。
http://www.ipa.go.jp/security/vuln/websecurity.html
投稿2015/08/25 21:17
総合スコア1768
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。