質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.60%

PHPでSQL インジェクション対策

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 809

PHPでインジェクション対策を参考にSQL文のインジェクション対策を進めています。

下記の関数に対して、$genderはユーザー(外部)から与えられる仮想配列です。

安全なSQLの呼び出し方
の15ページより文字列連結にquoteメソッドを使うことがよいそうですが、表現方法をご教示いただけないでしょうか。

function teacher_search_from_gender($dbh, $gender){
  $sql = <<<SQL
  SELECT `id`
  FROM `member`
  WHERE `role` = :role
SQL;
  $sql.=' AND `gender` IN ("'.implode('","',$gender).'") ';
  $stmt = $dbh->prepare($sql);
  $stmt->bindValue(':role', 2, PDO::PARAM_INT);
  // $stmt->bindValue(':gender', implode('","',$gender), PDO::PARAM_STR);
  if($stmt->execute()){
    $teacher_id = array();
    $teacher_id = $stmt->fetchALL(PDO::FETCH_COLUMN);
    return $teacher_id;
  }else{
    return FALSE;
  }
}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+5

可変長プレースホルダ、という定石があります。パラメータのぶんだけ予め ? を仕込んでおいてください。

PHPでデータベースに接続するときのまとめ - 可変長プレースホルダ

function teacher_search_from_gender(PDO $dbh, array $gender)
{
    if (!$gender) {
        return [];
    }

    $gender = array_values(array_unique($gender));
    $placeholders = implode(', ', array_fill(0, count($gender), '?'));

    $sql = <<<SQL
        SELECT `id`
        FROM `member`
        WHERE `role` = :role AND `gender` IN ($placeholders)
SQL;
    $stmt = $dbh->prepare($sql);

    $stmt->bindValue(1, 2, PDO::PARAM_INT);
    foreach ($gender as $i => $item) {
        $stmt->bindValue(2 + $i, $item, PDO::PARAM_STR);
    }

    return $stmt->execute()
        ? $stmt->fetchAll(PDO::FETCH_COLUMN)
        : false;
}

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/10/20 20:08

    【補足】

    ・すべて文字列の場合は execute でパラメータを渡せるのでもう少し簡単に書けます。bindValue で1つ1つ渡す場合は今回のように少々面倒な記述になってしまいます。

    ・PDO::ERRMODE_EXCEPTION にエラーモードを設定しておくと execute の返り値をチェックする必要がなく、成功したときのことだけ考えればいいようになるのでおすすめです。

    キャンセル

  • 2018/10/21 12:01 編集

    フレームワークを使っているのであればそもそもSQLを全部書く必要がないので一番ラクです。使っていない場合でも、LaravelのEloquentやクエリビルダは単独で導入することができるので、これをおすすめしておきます。

    LaravelのORM、Eloquentを単品で使用してみる - Qiita
    https://qiita.com/IganinTea/items/16bad23bd4e4cbed337a

    これを使うと、今回のコードはそもそも関数化する必要がないぐらいシンプルになりますね。

    $id = DB::table('member')->where('role', 2)->whereIn('gender', $gender)->first()->id ?? false;

    これだけです。

    キャンセル

checkベストアンサー

+1

こんなふうにやってください

$gender=["x","y","z"];
$sql = <<<SQL
SELECT `id`
FROM `member`
WHERE `role` = 2
SQL;
$data=[];
if(is_array($gender) and count($gender)>0){
  $sql.=" and `gender` in (".implode(",",array_fill(0,count($gender),"?")).")";
}
$data=array_merge($data,$gender);
print $sql;
print_r($data);

$stmt = $dbh->prepare($sql);
$stmt->execute($data);
$rows=$stmt->fetchAll(PDO::FETCH_ASSOC);
print_r($rows);


※roleにはスタティックなintデータが入ってたので直書きしておきましたが
場合によっては$dataに格納してprepareで処理してもOK

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/10/27 11:43

    いつもいつもありがとうございます。
    コードの中身を理解できました。

    キャンセル

-1

一番の対策はそもそも自分でSQLを書かない。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.60%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る