質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.13%

PHPからMySQLに接続時の脆弱性対策について

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 3
  • VIEW 652

terapro

score 36

いつもお世話になっております。
PHPでMySQLに接続した時の脆弱性についての質問です。

今回、サービスを本番稼働させるに当たって、
フォームからの情報入力でデータベースへの不正書き換えが
行われないかどうかを確認したいです。

試したこと。
DBの接続はPDO接続する。

<?php 
if(isset($_GET['id'])) {
    $id = $_GET['id'];
  }

$con = new PDO('mysql:host=localhost;dbname=pdodb','root','dbpass');

$user = $con->query("
        SELECT * FROM users
        WHERE id = '$id'
    ");

$user = $user->fetch(PDO::FETCH_OBJ);

echo $user->first_name;

}
if(isset($_POST['submit'])) {
    $email = $_POST['email'];
  }

$con = new PDO('mysql:host=localhost;dbname=pdodb','root','dbpass');

$user = $con->prepare("
    INSERT INTO users(email)
    VALUES (:e_mail)
    ");

$userExcution = $user->execute([
    'e_mail'  => '$email'
    ]);

受け取った
$_GET['id']や$_POST['email']を

$POST = filter_var_array( $_POST, FILTER_SANITIZE_STRING);

htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、
PDOで接続する場合は基本不要だというのが私の解釈です。

CRUDはPDOで接続しておけば、SQLインジェクション等の脆弱性対策として十分ということなら
大手を振って多くの人に使って頂けると思うのですが、
もし、不十分であるならばぜひご指摘ください。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • terapro

    2019/12/30 11:40

    失礼しました。
    $email←シングルクオーテーションを外しました。

    > 2つ目のコード[$email]と言う文字列を送りたいんですかね。
    はい、この解釈です。

    キャンセル

  • m.ts10806

    2019/12/30 13:00

    いや…
    「$emailという変数に保管された情報」ですよね。
    「$emailという文字列」ではないですよね(振り出しに戻った…)

    キャンセル

  • terapro

    2019/12/30 13:32

    あ、はいそうです。mail@mail.comのような変数に保管された情報です。
    フォーム画面のサンプルを飛ばして質問しました。横着してすいません。

    キャンセル

回答 3

checkベストアンサー

+4

質問に書かれている内容が色々おかしいので、まずセキュリティの基本から学習されることをオススメします。

本件に記述されたコードは
*1つ目のコード
・典型的な SQL インジェクションが可能なコード
・エミュレーションの指定が無いので、限定的な環境下において、書き換えも可

*2つ目のコード
・文字コードとエミュレーションの指定が無いので、ごく限定的な環境下で、SQL インジェクションが可能

この辺も合わせて読んどくと良いです。
PHPでデータベースに接続するときのまとめ

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/12/30 11:33

    ありがとうございます、おっしゃるとおりセキュリティに関しての理解が足りずお手間お掛いたします。

    PHPでデータベースに接続するときのまとめを拝読しました。

    DB接続時に文字コード追加しました。
    utf8mb4については現在の文字コードがutf8_genenal_ciなので、utf8mb4_genenal_ciに変更します。
    エミュレーションの指定をしました。

    $con = new PDO('mysql:host=localhost;charset=utf8;dbname=pdodb','root','dbpass');

    try {

    $pdo = new PDO('mysql:host=localhost;charset=utf8;dbname=pdodb','root','dbpass'),
    [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    ]
    );
    } catch (PDOException $e) {

    header('Content-Type: text/plain; charset=UTF-8', true, 500);
    exit($e->getMessage());

    }

    header('Content-Type: text/html; charset=utf-8');

    確かに、PDO接続の際にtryとcatchを省略していました。
    このあたりをしっかり固めておけば、攻撃耐性ありますでしょうか?

    キャンセル

  • 2019/12/30 12:12

    SQL インジェクション対策は非常に単純で、「データのバインド機構」を正しく使用することで防ぐことができます。

    実装としては、以下で実現します。
    ・php と DB の文字コードを合わせる(コンストラクタで適切に指定する)
    ・prepare を使用する

    prepare を使用することで、DB 投入時に自動的にエスケープされるため、基本的には SANITIZE 系のフィルタを使用することはありません。

    リンク先のテンプレートの範囲で使用する限り特に問題になる箇所は無いです。
    *ただ、コメントにあるコードは若干違っているようですが。。。

    where の条件追加とか、prepare を使用するのにテンプレートを拡張して使用する工夫が必要なものもありますが、それはまた別の話なのでここでは触れません。

    参考まで。

    キャンセル

  • 2019/12/30 20:51

    SQL インジェクション対策は非常に単純ということでホッとしました。

    > ・php と DB の文字コードを合わせる(コンストラクタで適切に指定する)
    > ・prepare を使用する
    これらの点をしっかり守ります。ありがとうございます!

    > prepare を使用することで、DB 投入時に自動的にエスケープされるため、基本的には SANITIZE 系のフィルタを使用することはありません。
    ここが知りたかったです。上記2点をしっかり守ってDBに接続します!

    キャンセル

+4

今回、サービスを本番稼働させるに当たって、
フォームからの情報入力でデータベースへの不正書き換えが
行われないかどうかを確認したいです。

このサンプルだと容易にデータベースへの不正書き換えができますね。mysqliだと書き換えまではできない(情報漏えいは起こる)ものの、PDOなら可能です。

PDOに複文実行を禁止するオプションが追加されていた

といっても、PDOを使うべきではないということではなく、SQLインジェクションが入らないようにすべきです。queryメソッドは使用禁止にしたらどうですか?

ちょっとわかりにくいと思うのでまとめると、

  • このサンプルにはSQLインジェクション脆弱性がある
  • MySQLの場合通常SQLインジェクションがあると情報漏えいは起きるがデータの書き換えはできない
  • PDOの場合は例外でデフォルト設定だとSQLインジェクションでデータの書き換えができてしまう
  • PHP 5.5.21以降でPDOの機能追加がされ、SQLインジェクションの際のデータ書き換えができなくなった(デフォルト設定では書き換え可能なので追加オプションを指定すべし…先の記事を参照)

どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。

htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、
PDOで接続する場合は基本不要だというのが私の解釈です。

htmlspecialcharsはクロスサイトスクリプティング(XSS)対策に必要なもので、mysqliかPDOに関わらず表示の際に必要です


コメントへの返信を追記します。

> どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。
よろしくお願いします。
DB接続時に文字コードとエミュレーションの指定を接続時にtry,catchの接続部分で脆弱性があると考えました。このあたりをしっかり学習し、対応することで攻撃耐性を持たせるという解釈で合っていますでしょうか?

違います。決定的に間違ってます。SQLインジェクション脆弱性があるのは下記の箇所です。

$user = $con->query("
        SELECT * FROM users
        WHERE id = '$id'
    ");

$id の指定にプレースホルダを使っていないため、ここでSQLインジェクション脆弱性になっています。queryメソッドを禁止したらどうかという提案は、これが理由です。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/12/30 11:59

    ご回答ありがとうございます。

    > といっても、PDOを使うべきではないということではなく、SQLインジェクションが入らないようにすべきです。queryメソッドは使用禁止にしたらどうですか?

    既にqueryメソッドはSELECT時に多用しているため、使用禁止にするとかなり確認に時間が掛かってしまいそうです。。

    PDOに複文実行を禁止するオプションが追加されていた
    拝読しました。

    > どこにSQLインジェクション脆弱性があるかわからない場合はコメント等で質問してください。
    よろしくお願いします。
    DB接続時に文字コードとエミュレーションの指定を接続時にtry,catchの接続部分で脆弱性があると考えました。このあたりをしっかり学習し、対応することで攻撃耐性を持たせるという解釈で合っていますでしょうか?

    多くのユーザーに利用いただくテストの限定的な範囲で動作確認をしていたため、セキュリティに関する認識が甘いままここまで来てしまいました。頂いた記事を熟読します。

    キャンセル

  • 2019/12/30 20:54

    > 違います。決定的に間違ってます。SQLインジェクション脆弱性があるのは下記の箇所です。
    ありがとうございます、理解できました。

    INSERT、UPDATE、DELETEはprepareしていたのですが、
    SELECTは不要と思い、prepareしていませんでした。

    queryメソッド禁止にします。

    ご指摘ありがとうございました!

    キャンセル

+1

1つだけ。

htmlspecialchars()を使うこともmysqliで接続していた際は使っていましたが、

htmlspecialchars()入力に対して使用するものではありません。
htmlspecialchars() 使うタイミング
PDOでも引き続き出力時に使用するようにしてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/12/30 11:48

    ご回答ありがとうございます。

    mysqliで接続時は、以下のように使用していました。

    if(isset($_POST['submit'])) {
    $email = $_POST['email'];
    $email = htmlspecialchars($email);
    }

    if(isset($_GET['id'])) {
    $id = $_GET['id'];
    $id = htmlspecialchars($id);
    }

    のような形で使用しておりました。

    > PDOでも引き続き出力時に使用するようにしてください。
    PDO接続でも同様にすべきという解釈で合っていますでしょうか?
    よろしくお願いいたします。

    キャンセル

  • 2019/12/30 13:14

    htmlspecialchars()は、HTML出力すると文字化けする場合の対策であって、データベースに保存する際のエスケープ処理に使うものではないよ。HTML出力する直前に加工して出力するものです。→ PHP: htmlspecialchars - Manual <https://www.php.net/manual/ja/function.htmlspecialchars.php>

    キャンセル

  • 2019/12/30 20:43

    失礼しました。使っていたのは下記でした。
    mysqli_real_escape_string(connection, escapestring)

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.13%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る