PHPでSQL インジェクション対策

PHPでインジェクション対策を参考にSQL文のインジェクション対策を進めています。

下記の関数に対して、$genderはユーザー（外部）から与えられる仮想配列です。

安全なSQLの呼び出し方
の15ページより文字列連結にquoteメソッドを使うことがよいそうですが、表現方法をご教示いただけないでしょうか。

php
1function teacher_search_from_gender($dbh, $gender){
2  $sql = <<<SQL
3  SELECT `id`
4  FROM `member`
5  WHERE `role` = :role
6SQL;
7  $sql.=' AND `gender` IN ("'.implode('","',$gender).'") ';
8  $stmt = $dbh->prepare($sql);
9  $stmt->bindValue(':role', 2, PDO::PARAM_INT);
10  // $stmt->bindValue(':gender', implode('","',$gender), PDO::PARAM_STR);
11  if($stmt->execute()){
12    $teacher_id = array();
13    $teacher_id = $stmt->fetchALL(PDO::FETCH_COLUMN);
14    return $teacher_id;
15  }else{
16    return FALSE;
17  }
18}
19

行動規範の内容に同意します

回答3件

可変長プレースホルダ、という定石があります。パラメータのぶんだけ予め ? を仕込んでおいてください。

PHPでデータベースに接続するときのまとめ - 可変長プレースホルダ

php
1function teacher_search_from_gender(PDO $dbh, array $gender)
2{
3    if (!$gender) {
4        return [];
5    }
6
7    $gender = array_values(array_unique($gender));
8    $placeholders = implode(', ', array_fill(0, count($gender), '?'));
9
10    $sql = <<<SQL
11        SELECT `id`
12        FROM `member`
13        WHERE `role` = :role AND `gender` IN ($placeholders)
14SQL;
15    $stmt = $dbh->prepare($sql);
16
17    $stmt->bindValue(1, 2, PDO::PARAM_INT);
18    foreach ($gender as $i => $item) {
19        $stmt->bindValue(2 + $i, $item, PDO::PARAM_STR);
20    }
21
22    return $stmt->execute()
23        ? $stmt->fetchAll(PDO::FETCH_COLUMN)
24        : false;
25}

投稿2018/10/20 11:05

mpyw

総合スコア5223

mpyw

2018/10/20 11:08

【補足】・すべて文字列の場合は execute でパラメータを渡せるのでもう少し簡単に書けます。bindValue で1つ1つ渡す場合は今回のように少々面倒な記述になってしまいます。・PDO::ERRMODE_EXCEPTION にエラーモードを設定しておくと execute の返り値をチェックする必要がなく、成功したときのことだけ考えればいいようになるのでおすすめです。

mpyw

2018/10/21 03:01 編集

フレームワークを使っているのであればそもそもSQLを全部書く必要がないので一番ラクです。使っていない場合でも、LaravelのEloquentやクエリビルダは単独で導入することができるので、これをおすすめしておきます。 LaravelのORM、Eloquentを単品で使用してみる - Qiita https://qiita.com/IganinTea/items/16bad23bd4e4cbed337a これを使うと、今回のコードはそもそも関数化する必要がないぐらいシンプルになりますね。 $id = DB::table('member')->where('role', 2)->whereIn('gender', $gender)->first()->id ?? false; これだけです。

行動規範の内容に同意します

一番の対策はそもそも自分でSQLを書かない。

投稿2018/10/21 02:07

kawax

総合スコア10377

ベストアンサー

こんなふうにやってください

php
1$gender=["x","y","z"];
2$sql = <<<SQL
3SELECT `id`
4FROM `member`
5WHERE `role` = 2
6SQL;
7$data=[];
8if(is_array($gender) and count($gender)>0){
9  $sql.=" and `gender` in (".implode(",",array_fill(0,count($gender),"?")).")";
10}
11$data=array_merge($data,$gender);
12print $sql;
13print_r($data);
14
15$stmt = $dbh->prepare($sql);
16$stmt->execute($data);
17$rows=$stmt->fetchAll(PDO::FETCH_ASSOC);
18print_r($rows);