Q&A
徳丸本もってるならなぜそちらで確認しないのか理解に苦しみます。
SQLインジェクションについて調べていたのですが、対策の一つに静的プレースホルダーを用いる方法あるかと思います。
しかし、何故静的プレースホルダーを用いることでSQLインジェクション対策になるのかが分かりません。
リンク先では、SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'このようにSQLへ指定された場合必ずTRUEとなってしまうとあるのですが、仮に静的プレースホルダーを利用したとしても、どのみち値をバインドする為、同じなのではないかと思ってしまいます。
何故、値をプレースホルダーへバインドすることがSQLインジェクションの対策になるのでしょうか?
詳しい方が、いらっしゃいましたら教えて頂けましたら幸いです。
回答3件
0
ベストアンサー
仮に静的プレースホルダーを利用したとしても、どのみち値をバインドする為、同じ
いいえ、攻撃側からのパラメータ渡しで
SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'
というSQLを作成することが困難なので、セキュリティはぐっと高まります
たとえば
PHP
1$a="1' or '1' = '1"; 2$sql="SELECT user_id,password FROM users WHERE user_id='$a'"; 3print $sql; 4//SELECT user_id,password FROM users WHERE user_id='1' or '1' = '1'
これが
PHP
1$a="1' or '1' = '1"; 2$sql="SELECT user_id,password FROM users WHERE user_id=?"; 3``` 4としても実行されるのは(イメージとして) 5SELECT user_id,password FROM users WHERE user_id="1' or '1' = '1" 6なので、攻撃が無効化されています
投稿2019/09/30 11:35
編集2019/09/30 11:41
総合スコア114747
ご回答ありがとうございます。
例えばなのですが、「$a="1' or '1' = '1";
$sql="SELECT user_id,password FROM users WHERE user_id=?";」
ご提示頂きましたこちらの部分の$aの値を「$a = "'1' or '1' = '1'"」このようにした場合、プレースホルダーを用いて、値をバインドしても「SELECT user_id,password FROM users WHERE user_id="'1' or '1' = '1'"」このようになってしまい、攻撃が成功してしまうということはないでしょうか...?
> user_id="'1' or '1' = '1'"
おそらく「'1' or '1' = '1'」というuser_idのユーザーはいないので
その検索条件でヒットするデータは0件です
>おそらく「'1' or '1' = '1'」というuser_idのユーザーはいない
「'1' or '1' = '1'」こちらは、条件式として評価されないということなのでしょうか?
また、そうだとした場合、シングルクォートも意味を持たないただの文字列としてみなされる、という理解で合っていますでしょうか...?
>「'1' or '1' = '1'」こちらは、条件式として評価されないということなのでしょうか?
いえ違います
「'1' or '1' = '1'」というユーザーを探します。
結果としてそのユーザーがいなければヒットしないというだけです
>「'1' or '1' = '1'」というユーザーを探します。
となりますと、「'1' or '1' = '1'」こちらが全て文字列として(or)などの評価はされずに扱われるということでしょうか...?
> 「'1' or '1' = '1'」こちらが全て文字列として(or)などの評価はされずに
where句にuser_idが「’1' or '1' = '1'」と合致するデータを探すのですから
orや=を含めたすべての文字が文字列の一部として評価されます
いわゆる「画餅(絵に書いた餅は食べられない)」ということです
条件式のように見えても影響がないただの文字列。
ご返信ありがとうございます。
理解することができました。
0
静的プレースホルダを用いる場合、データベース・サーバー側でのSQLの処理(コンパイル等)は、プレースホルダのままで行われます。なので、ご指摘のSQL文は以下の状態のままコンパイルされます。
SQL
1SELECT user_id,password FROM users WHERE user_id=?
プレースホルダ記号のままSQL文がコンパイルされるため、この段階でSQLの意味は確定します。
そして、バインド処理はコンパイル後のSQL文に対して行われます。既にコンパイルされたSQL文に対して、値をいくら工夫しても、SQL文の意味が変わる(例えばOR演算子が増える)ことはありません。
これが静的プレースホルダが安全である理由です。
投稿2019/09/30 11:53
総合スコア11701
0
仮に静的プレースホルダーを利用したとしても、どのみち値をバインドする為、同じなのではないかと思ってしまいます。
いえ、静的プレースホルダでは先に構文を組み立てるという処理が行われます。後から来た値は、値としてしか認識されません。
(元来、静的プレースホルダは「値だけ変えて同じ構造のSQL文を複数実行する場合に、事前に準備して効率化する」という狙いのものだったのですが、実行の仕組み上「値と構文が混ざらない」というメリットもあったので、セキュリティ目的でも使われています)
投稿2019/09/30 11:47
総合スコア145183
あなたの回答
tips
プレビュー
