静的プレースホルダーを利用したSQLインジェクション対策について

SQLインジェクションについて調べていたのですが、対策の一つに静的プレースホルダーを用いる方法あるかと思います。
しかし、何故静的プレースホルダーを用いることでSQLインジェクション対策になるのかが分かりません。
リンク先では、SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'このようにSQLへ指定された場合必ずTRUEとなってしまうとあるのですが、仮に静的プレースホルダーを利用したとしても、どのみち値をバインドする為、同じなのではないかと思ってしまいます。
何故、値をプレースホルダーへバインドすることがSQLインジェクションの対策になるのでしょうか？
詳しい方が、いらっしゃいましたら教えて頂けましたら幸いです。

m.ts10806

2019/09/30 11:50

徳丸本もってるならなぜそちらで確認しないのか理解に苦しみます。

行動規範の内容に同意します

回答3件

ベストアンサー

仮に静的プレースホルダーを利用したとしても、どのみち値をバインドする為、同じ

いいえ、攻撃側からのパラメータ渡しで

SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'

というSQLを作成することが困難なので、セキュリティはぐっと高まります
たとえば

PHP
1$a="1' or '1' = '1";
2$sql="SELECT user_id,password FROM users WHERE user_id='$a'";
3print $sql; 
4//SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'

これが

PHP
1$a="1' or '1' = '1";
2$sql="SELECT user_id,password FROM users WHERE user_id=?";
3```
4としても実行されるのは(イメージとして)
5SELECT user_id,password FROM users WHERE user_id="1' or '1' = '1"
6なので、攻撃が無効化されています

投稿2019/09/30 11:35

編集2019/09/30 11:41

yambejp

総合スコア116661

aae_11

2019/09/30 12:20

ご回答ありがとうございます。例えばなのですが、「$a="1' or '1' = '1"; $sql="SELECT user_id,password FROM users WHERE user_id=?";」ご提示頂きましたこちらの部分の$aの値を「$a = "'1' or '1' = '1'"」このようにした場合、プレースホルダーを用いて、値をバインドしても「SELECT user_id,password FROM users WHERE user_id="'1' or '1' = '1'"」このようになってしまい、攻撃が成功してしまうということはないでしょうか...?

yambejp

2019/09/30 12:31

> user_id="'1' or '1' = '1'" おそらく「'1' or '1' = '1'」というuser_idのユーザーはいないのでその検索条件でヒットするデータは0件です

aae_11

2019/09/30 12:37 編集

>おそらく「'1' or '1' = '1'」というuser_idのユーザーはいない「'1' or '1' = '1'」こちらは、条件式として評価されないということなのでしょうか？また、そうだとした場合、シングルクォートも意味を持たないただの文字列としてみなされる、という理解で合っていますでしょうか...?

yambejp

2019/09/30 12:51

＞「'1' or '1' = '1'」こちらは、条件式として評価されないということなのでしょうか？いえ違います「'1' or '1' = '1'」というユーザーを探します。結果としてそのユーザーがいなければヒットしないというだけです

aae_11

2019/09/30 12:58

＞「'1' or '1' = '1'」というユーザーを探します。となりますと、「'1' or '1' = '1'」こちらが全て文字列として(or)などの評価はされずに扱われるということでしょうか...?

yambejp

2019/09/30 13:18 編集

> 「'1' or '1' = '1'」こちらが全て文字列として(or)などの評価はされずに where句にuser_idが「’1' or '1' = '1'」と合致するデータを探すのですから orや＝を含めたすべての文字が文字列の一部として評価されますいわゆる「画餅(絵に書いた餅は食べられない)」ということです条件式のように見えても影響がないただの文字列。

aae_11

2019/10/01 00:00

ご返信ありがとうございます。理解することができました。

行動規範の内容に同意します

静的プレースホルダを用いる場合、データベース・サーバー側でのSQLの処理（コンパイル等）は、プレースホルダのままで行われます。なので、ご指摘のSQL文は以下の状態のままコンパイルされます。

SQL
1SELECT user_id,password FROM users WHERE user_id=?

プレースホルダ記号のままSQL文がコンパイルされるため、この段階でSQLの意味は確定します。
そして、バインド処理はコンパイル後のSQL文に対して行われます。既にコンパイルされたSQL文に対して、値をいくら工夫しても、SQL文の意味が変わる（例えばOR演算子が増える）ことはありません。

これが静的プレースホルダが安全である理由です。

投稿2019/09/30 11:53

ockeghem

総合スコア11705

aae_11

2019/09/30 14:04

ご回答頂きましてありがとうございます。＞例えばOR演算子が増えるこちらの部分なのですが、プレースホルダー(?)にバインドされた値に、「delete from ~」や「where id = ~」といった文字列が含まれていたとしても、それはただの文字列であるため、SQLの文法として解釈されないため、安全であるといった理解で大方あっていますでしょうか...?

ockeghem

2019/09/30 14:45

はい、そのとおりです

aae_11

2019/10/01 00:02

ご返信ありがとうございます。理解することができました。

行動規範の内容に同意します