投稿2019/12/09 10:16
1.商品IDをGETで受け取る
2.データベースから受け取ったIDで商品を検索する
この場合において、
$product_id = h(mb_convert_kana($_GET['product_id'])); $sql = "SELECT * FROM product WHERE product_id = :product_id"; ・・・・・・・・・・・
のような形だったとします
この場合、
不正な値が入力される場合を想定してGETの値をバリデーションしたほうがいいのでしょうか?
それとも、該当するproductはデータベースにはないわけだから、
データベースへの問い合わせをtry/catchしてエラーを返すだけでも問題ないのでしょうか?
バリデーションするとなれば、
値が
空ではない
数字
6桁以内
など、常にしないといけなくなるのかな?と思い質問させていただきました
よろしくおねがいします
回答3件
0
マニュアルの一歩先を記事としてまとめてくれている人がいるので参考まで。
PHPでデータベースに接続するときのまとめ
$_GET, $_POSTなどを受け取る際の処理
あとこの辺も読むと良いです。
バリデーションには3種類のバリデーションがある 〜 セキュアなアプリケーションの構造 〜
投稿2019/12/09 14:04
退会済みユーザー
総合スコア0
0
ベストアンサー
問題を2つに切り分けて考えた方が良いと思います。
書かれている、$sql 変数の :product_id に $product_id を割り当てる方法が不明なため、(この後の行で書かれていることと思います)、厳密な答えはできませんが、PDO のプリペアドステートメントを使われているようであれば問題ないと思います。
おそらく
php
1$stmt = $dbh->prepare($sql); 2$stmt->bindParam(':product_id', $product_id);
こうなっているでしょうか。これであれば、SQLインジェクションへの対策は十分であり、これ以外の方法を使ってはいけません。
単純な try/catch でも良いのですが、検索該当行数を見て処理を分岐したほうが、本当の例外(DBがダウンしているとか) の判断がしやすいので、結果0だった場合と結果2以上だった場合で分岐されることをおすすめします。
それ以前に
おそらくWebフレームワークを使われているようですが、その場合は生SQLは書かずに、Webフレームワークで準備されているORマッパーを使った方がメンテナンス性・安全性の面からも適しています。
もしCakePHPをお使いであれば
https://book.cakephp.org/3/ja/orm.html こちらをご覧ください。
投稿2019/12/09 10:31
総合スコア24
0
外部からくるパラメータはいくらでも細工を仕込めるので、
不適切なデータが紛れ込まないか常にチェックするよう心がけたいと考えます。
(SQLインジェクションだけじゃないでしょ。)
ところで、h関数がネットでよく見る事例だとしたら、
データベースでの検索用に使う場合はhtmlspecialchars()にかける前のピュア(?)なまま
使うことをおすすめします。
投稿2019/12/09 10:19
編集2019/12/09 10:20退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/12/09 16:17
退会済みユーザー
2019/12/09 23:05
2019/12/10 10:27