migrate sqlインジェクション対策ができない。

前提・実現したいこと

laravelでmigarateを実行させてデータをimportをするための実装をしています。
しかし素のmysqlで打ち込めばデータは取得できるのですがsqlインジェクション対策のためにデータを可変にして取得しようとするとエラーが起きてしまうためなぜできないのかわかりません。初心者のためいろいろ説明不足の質問になってしまい申し訳ございませんが、よろしくお願いいたします。

発生している問題・エラーメッセージ

Undefined offset: 0

エラーメッセージ
 Undefined offset: 0

該当のソースコード

php
1
2$list = DB::connection('r1')->select('select * from test_db');
3
4foreach($list as $old)
5{
6 $comment = DB::connection('hogedb')->select(
7       'select * from pp_table where pp_id IN (select ".$hoge->hoge_id." from test_db)'
8);  
9
10 $p->pp_id = $comment[0]->p_comment_id;
11}
12
13

試したこと

mysqlで上記のsqlインジェクションをしていないままのmysqlを打ち込んだ時はデータが取れました
select + from pp_table where pp_id IN (select hoge_id from test_id);

補足情報（FW/ツールのバージョンなど）

ここにより詳細な情報を記載してください。

行動規範の内容に同意します

回答2件

ベストアンサー

Laravelは標準でPDOを使ってSQLを発行しているので、一応SQLインジェクション対策は出来ていると考えて良いかと思います。また、ユーザーからの入力値をバリデートする機能もLaravelの作法に従って書くことで、安全な値のみをDBにアクセスさせることができるようです。
https://readouble.com/laravel/5.7/ja/queries.html

投稿2018/11/17 19:33

編集2018/11/17 19:40

sakamata

総合スコア203

trymobuo

2018/11/18 14:40

select * from pp_table where pp_id = ?', ["$old->test_db"]で値をとるようにすればsqlインジェクションとしてとれるよと伝えられたんですけどsqlインジェクションではなく普通にとれてないってことですか？

sakamata

2018/11/18 17:41

返答頂いた >sqlインジェクションとしてとれるよは、おそらく逆の意味で、このように書けばSQLインジェクションを防げるという意味ですね。ちょうど以下のページでも説明されているようですね。『SQLクエリの実行』部分です https://readouble.com/laravel/5.4/ja/database.html また、私の説明が誤っていたので修正します。 DB::select( )　や select() メソッドを直接使っているのであれば、その中にSQL文をそのまま書けてしまうので、きちんとPDOを使ったSQLインジェクション対策が必要です。そこで、コメントしてくださった様な書き方をして、ユーザーからの入力値を第二引数に入れて実行するという方法がSQLインジェクションを防ぐ正しい書き方、という事になります。 `select * from pp_table where pp_id = ?', ["$old->test_db"]` リンク先の例も同じです（ユーザーが入れた値を１と仮定） ` $users = DB::select('select * from users where active = ?', [1]);` ただ、そもそも論なのですが、SQLインジェクションというのはユーザーform等で入力した値に悪意のあるコードがある場合、うっかりDBを操作をされてしまうという事柄と理解していますが、やろうとなさっている事は >migarateを実行させてデータをimportをするとあってよく意味がわかりませんでしたが、そもそもユーザーの悪意のあるデータが入っている可能性が無い様なデータを取り扱う様に思えます。もしそのような場合にはSQLインジェクションに対してあまり気を使わなくても良い気がします。

行動規範の内容に同意します