Q&A
セキュリティタグも念のためつけていたほうが良いと思います。
いつもお世話になっております。
PHPでMySQLに接続した時の脆弱性についての質問です。
今回、サービスを本番稼働させるに当たって、
フォームからの情報入力でデータベースへの不正書き換えが
行われないかどうかを確認したいです。
試したこと。
DBの接続はPDO接続する。
php
1<?php 2if(isset($_GET['id'])) { 3 $id = $_GET['id']; 4 } 5 6$con = new PDO('mysql:host=localhost;dbname=pdodb','root','dbpass'); 7 8$user = $con->query(" 9 SELECT * FROM users 10 WHERE id = '$id' 11 "); 12 13$user = $user->fetch(PDO::FETCH_OBJ); 14 15echo $user->first_name; 16 17}
php
1if(isset($_POST['submit'])) { 2 $email = $_POST['email']; 3 } 4 5$con = new PDO('mysql:host=localhost;dbname=pdodb','root','dbpass'); 6 7$user = $con->prepare(" 8 INSERT INTO users(email) 9 VALUES (:e_mail) 10 "); 11 12$userExcution = $user->execute([ 13 'e_mail' => '$email' 14 ]);
受け取った
$_GET['id']や$_POST['email']を
$POST = filter_var_array( $_POST, FILTER_SANITIZE_STRING);
や
htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、
PDOで接続する場合は基本不要だというのが私の解釈です。
CRUDはPDOで接続しておけば、SQLインジェクション等の脆弱性対策として十分ということなら
大手を振って多くの人に使って頂けると思うのですが、
もし、不十分であるならばぜひご指摘ください。
よろしくお願いいたします。
タグ追加しました。ありがとうございます。
2つ目のコード[$email]と言う文字列を送りたいんですかね。
$test = "hogehoge";
echo '$test'.PHP_EOL;
echo "$test".PHP_EOL;
echo $test.PHP_EOL;
2つ目のコードはユーザログイン時に使用しています。
全画面のフォームでname="email"の入力を送信し、$_POST['email']で受け取ります。
mysqliで接続していた時は
mysqli_real_escape_string($db, $email);
でサニタイズしていましたが、PDOでも同様の処理が$_POST['email']に対して必要かどうか知りたいです。
また、1つ目のコードはユーザが検索する時に使用しています。
このテーブルの漏えい自体は公開情報を検索するものなので問題視しませんが、書き換えは困ります。
わかりにくい質問で申し訳ございません。
よろしくお願いいたします。
いえ、もっと基本的な話です
'$email'
↑これではそもそも変数展開されません。
失礼しました。
$email←シングルクオーテーションを外しました。
> 2つ目のコード[$email]と言う文字列を送りたいんですかね。
はい、この解釈です。
いや…
「$emailという変数に保管された情報」ですよね。
「$emailという文字列」ではないですよね(振り出しに戻った…)
あ、はいそうです。mail@mail.comのような変数に保管された情報です。
フォーム画面のサンプルを飛ばして質問しました。横着してすいません。
回答3件
0
今回、サービスを本番稼働させるに当たって、
フォームからの情報入力でデータベースへの不正書き換えが
行われないかどうかを確認したいです。
このサンプルだと容易にデータベースへの不正書き換えができますね。mysqliだと書き換えまではできない(情報漏えいは起こる)ものの、PDOなら可能です。
といっても、PDOを使うべきではないということではなく、SQLインジェクションが入らないようにすべきです。queryメソッドは使用禁止にしたらどうですか?
ちょっとわかりにくいと思うのでまとめると、
- このサンプルにはSQLインジェクション脆弱性がある
- MySQLの場合通常SQLインジェクションがあると情報漏えいは起きるがデータの書き換えはできない
- PDOの場合は例外でデフォルト設定だとSQLインジェクションでデータの書き換えができてしまう
- PHP 5.5.21以降でPDOの機能追加がされ、SQLインジェクションの際のデータ書き換えができなくなった(デフォルト設定では書き換え可能なので追加オプションを指定すべし…先の記事を参照)
どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。
htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、
PDOで接続する場合は基本不要だというのが私の解釈です。
htmlspecialcharsはクロスサイトスクリプティング(XSS)対策に必要なもので、mysqliかPDOに関わらず表示の際に必要です
コメントへの返信を追記します。
どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。
よろしくお願いします。
DB接続時に文字コードとエミュレーションの指定を接続時にtry,catchの接続部分で脆弱性があると考えました。このあたりをしっかり学習し、対応することで攻撃耐性を持たせるという解釈で合っていますでしょうか?
違います。決定的に間違ってます。SQLインジェクション脆弱性があるのは下記の箇所です。
PHP
1$user = $con->query(" 2 SELECT * FROM users 3 WHERE id = '$id' 4 ");
$id の指定にプレースホルダを使っていないため、ここでSQLインジェクション脆弱性になっています。queryメソッドを禁止したらどうかという提案は、これが理由です。
投稿2019/12/30 00:45
編集2019/12/30 04:59
総合スコア11705
ご回答ありがとうございます。
> といっても、PDOを使うべきではないということではなく、SQLインジェクションが入らないようにすべきです。queryメソッドは使用禁止にしたらどうですか?
既にqueryメソッドはSELECT時に多用しているため、使用禁止にするとかなり確認に時間が掛かってしまいそうです。。
PDOに複文実行を禁止するオプションが追加されていた
拝読しました。
> どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。
よろしくお願いします。
DB接続時に文字コードとエミュレーションの指定を接続時にtry,catchの接続部分で脆弱性があると考えました。このあたりをしっかり学習し、対応することで攻撃耐性を持たせるという解釈で合っていますでしょうか?
多くのユーザーに利用いただくテストの限定的な範囲で動作確認をしていたため、セキュリティに関する認識が甘いままここまで来てしまいました。頂いた記事を熟読します。
> 違います。決定的に間違ってます。SQLインジェクション脆弱性があるのは下記の箇所です。
ありがとうございます、理解できました。
INSERT、UPDATE、DELETEはprepareしていたのですが、
SELECTは不要と思い、prepareしていませんでした。
queryメソッド禁止にします。
ご指摘ありがとうございました!
0
ベストアンサー
質問に書かれている内容が色々おかしいので、まずセキュリティの基本から学習されることをオススメします。
本件に記述されたコードは
*1つ目のコード
・典型的な SQL インジェクションが可能なコード
・エミュレーションの指定が無いので、限定的な環境下において、書き換えも可
*2つ目のコード
・文字コードとエミュレーションの指定が無いので、ごく限定的な環境下で、SQL インジェクションが可能
この辺も合わせて読んどくと良いです。
PHPでデータベースに接続するときのまとめ
投稿2019/12/29 15:36
編集2019/12/29 15:47
退会済みユーザー
総合スコア0
ありがとうございます、おっしゃるとおりセキュリティに関しての理解が足りずお手間お掛いたします。
PHPでデータベースに接続するときのまとめを拝読しました。
DB接続時に文字コード追加しました。
utf8mb4については現在の文字コードがutf8_genenal_ciなので、utf8mb4_genenal_ciに変更します。
エミュレーションの指定をしました。
$con = new PDO('mysql:host=localhost;charset=utf8;dbname=pdodb','root','dbpass');
try {
$pdo = new PDO('mysql:host=localhost;charset=utf8;dbname=pdodb','root','dbpass'),
[
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
]
);
} catch (PDOException $e) {
header('Content-Type: text/plain; charset=UTF-8', true, 500);
exit($e->getMessage());
}
header('Content-Type: text/html; charset=utf-8');
確かに、PDO接続の際にtryとcatchを省略していました。
このあたりをしっかり固めておけば、攻撃耐性ありますでしょうか?
SQL インジェクション対策は非常に単純で、「データのバインド機構」を正しく使用することで防ぐことができます。
実装としては、以下で実現します。
・php と DB の文字コードを合わせる(コンストラクタで適切に指定する)
・prepare を使用する
prepare を使用することで、DB 投入時に自動的にエスケープされるため、基本的には SANITIZE 系のフィルタを使用することはありません。
リンク先のテンプレートの範囲で使用する限り特に問題になる箇所は無いです。
*ただ、コメントにあるコードは若干違っているようですが。。。
where の条件追加とか、prepare を使用するのにテンプレートを拡張して使用する工夫が必要なものもありますが、それはまた別の話なのでここでは触れません。
参考まで。
SQL インジェクション対策は非常に単純ということでホッとしました。
> ・php と DB の文字コードを合わせる(コンストラクタで適切に指定する)
> ・prepare を使用する
これらの点をしっかり守ります。ありがとうございます!
> prepare を使用することで、DB 投入時に自動的にエスケープされるため、基本的には SANITIZE 系のフィルタを使用することはありません。
ここが知りたかったです。上記2点をしっかり守ってDBに接続します!
0
1つだけ。
htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、
htmlspecialchars()入力に対して使用するものではありません。
htmlspecialchars() 使うタイミング
PDOでも引き続き出力時に使用するようにしてください。
投稿2019/12/29 16:45
総合スコア1088
ご回答ありがとうございます。
mysqliで接続時は、以下のように使用していました。
if(isset($_POST['submit'])) {
$email = $_POST['email'];
$email = htmlspecialchars($email);
}
if(isset($_GET['id'])) {
$id = $_GET['id'];
$id = htmlspecialchars($id);
}
のような形で使用しておりました。
> PDOでも引き続き出力時に使用するようにしてください。
PDO接続でも同様にすべきという解釈で合っていますでしょうか?
よろしくお願いいたします。
htmlspecialchars()は、HTML出力すると文字化けする場合の対策であって、データベースに保存する際のエスケープ処理に使うものではないよ。HTML出力する直前に加工して出力するものです。→ PHP: htmlspecialchars - Manual <https://www.php.net/manual/ja/function.htmlspecialchars.php>
失礼しました。使っていたのは下記でした。
mysqli_real_escape_string(connection, escapestring)
あなたの回答
tips
プレビュー
