Q&A
うまくいかないコードがとおるようだとSQLインジェクションし放題です。
度々お世話になります。
MySQLの検索で狙った結果がどうしても取れず、
万策尽きたので質問をさせていただきます。
やりたいこと
情報テーブルのtitleから、ユーザが検索した情報を表示したい。
「hoge」でhogefugaを表示。
「fuga」でhogefugaとfugaを表示
「hoge fuga」でhogefugaとfuganekohogeを表示。
情報テーブル
| id | title |
|---|---|
| 1 | hogefuga |
| 2 | fuga |
| 3 | fuganekohoge |
php
1try { 2 $con = new PDO( 3 'mysql:host=localhost;dbname=hoge;charset=utf8mb4', 4 'root', 5 '', 6 [ 7 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, 8 PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, 9 ] 10 ); 11 12} catch (PDOException $e) { 13 14 header('Content-Type: text/plain; charset=UTF-8', true, 500); 15 exit($e->getMessage()); 16 17}
html
1<h3 class="leave-comment-text">Search</h3> 2<form action="search.php" method="get"> 3 <input name="keywords" placeholder="Search" type="text"> 4 <button class="submit" type="submit" name="submit"> <i class="fa fa-search" aria-hidden="true"></i> </button> 5</form>
php
1if(isset($_GET['submit'])) { 2 $keywords = $_GET['keywords']; 3 } 4$kw = mb_convert_kana($keywords, 's'); 5$kw_arr = preg_split('/[\s]+/', $kw, -1, PREG_SPLIT_NO_EMPTY); 6$keywordCondition = []; 7foreach ($kw_arr as $keyword) { 8$keywordCondition[] = 'watch_title LIKE "%' . $keyword . '%"'; 9} 10$keywordCondition = implode(' AND ', $keywordCondition);
試したこと
php
1$search = $con->query(" 2SELECT * FROM kensaku 3WHERE $keywordCondition 4LIMIT $page_1, $per_page // ページャー 5"); 6 7$searches = $search->fetchAll(PDO::FETCH_OBJ);
上記だと求めた検索結果が出ますが、
セキュリティ的に良くないと伺ったのでprepareを使用することにしました。
上手くいかないコード
php
1$search = $con->prepare(" 2SELECT * FROM watch 3WHERE :keywordCondition 4LIMIT :page_1, :per_page 5"); 6$search->bindValue(':keywordCondition', $keywordCondition, PDO::FETCH_OBJ); 7$search->bindValue(':page_1', (int)$page_1, PDO::PARAM_INT); 8$search->bindValue(':per_page', (int)$per_page, PDO::PARAM_INT); 9$search->execute(); 10$searches = $search->fetchAll(PDO::FETCH_OBJ);
上記の$search->bindValue(':keywordCondition', $keywordCondition, PDO::FETCH_OBJ);
の部分の第3引数に様々な定数があったので下記URLより全パターン試しましたが、
白紙か、テーブルの全てのtitleが出力されました(絞り込みできない)
https://www.php.net/manual/ja/pdo.constants.php
php
1$search = $con->prepare(" 2SELECT * FROM watch 3WHERE ? 4LIMIT ?, ? 5"); 6$search->bindValue(1, $keywordCondition, PDO::FETCH_OBJ); 7$search->bindValue(2, (int)$page_1, PDO::PARAM_INT); 8$search->bindValue(3, (int)$per_page, PDO::PARAM_INT); 9$search->execute(); 10$searches = $search->fetchAll(PDO::FETCH_OBJ);
名前付きプレースホルダだと上手く行かないと思い、
疑問符プレースホルダでも試してみましたが名前付きプレースホルダの時と
同様に白紙か、テーブルの全てのtitleが出力されました(絞り込みできない)
以上、期待した結果を得るためのお知恵をお貸し頂ければと思います。
どうぞよろしくお願いいたします。
回答2件
0
基本
PHP
1 2$prepare = "SELECT * FROM `example` = ?"
は可能ですが
PHP
1 2$prepare = "SELECT * FROM ?"
は使用できません。
考え方
PHP
1$search = $con->prepare(" 2SELECT * FROM watch 3WHERE :keywordCondition 4LIMIT :page_1, :per_page 5");
ではなく
PHP
1 2$condition = '`field_1` = ? AND `field_2` = ?'; 3$search = $con->prepare(' 4SELECT * FROM watch 5WHERE '.$condition.' LIMIT ?, ?'); 6 7
と言う感じで$conditionを組み立てましょう。
その際には$conditionにユーザーからの入力を直接組み込んでしまわないように注意する必要があります。(フィールド名についてはホワイトリスト形式でチェックするなど)
例)
PHP
1 2// Your code here! 3//すべてAndで絞るとして、$conditions["フィールド名"][条件の値]の場合 4$conditions["name"] = ["a","b"]; 5$conditions["title"] = ["c","d"]; 6 7//となった場合、 8//`name` = ? AND `name` = ? AND `title` = ? and `title` = ? 9//という文字列を作りたいので 10$conditionAndList = []; 11foreach($conditions as $fieldName => $valueList){ 12 foreach($valueList as $value){ 13 $conditionAndList[] = '`'.$fieldName.'` = ?'; 14 //後でbindValueするとき用の配列 15 $bindedValueList[] = $value; 16 } 17} 18 19$conditionPrepare = implode(" AND ",$conditionAndList); 20//echo $conditionPrepare の結果は 21//`name` = ? AND `name` = ? AND `title` = ? AND `title` = ? こんな感じになる 22 23//var_dump($bindedValueList);の結果は 24/* こんな感じ 25array(4) { 26 [0]=> 27 string(1) "a" 28 [1]=> 29 string(1) "b" 30 [2]=> 31 string(1) "c" 32 [3]=> 33 string(1) "d" 34} 35*/ 36 37//中略 38 39//動的に作成した?の数だけbindValueする 40foreach($bindedValueList as $key => $bindedValue){ 41 $search->bindValue($key+1,$bindedValue); 42} 43 44//limitで使う固定的な数の?は普通にbindValueする 45 46//後略
投稿2019/12/31 08:33
編集2019/12/31 12:00
総合スコア18727
ご指摘ありがとうございます。
ただ、ユーザーは「hoge」「hoge fuga」「hoge fuga neko」・・と
一語、二語、三語と検索する可能性があるので、ANDの数を固定できず思案しております。
ANDの数を固定するのではなく、
?の数に合わせてbindValue()を複数回実行する方向で実装ですね。
すいません。。そうしたいのですがどのように書けばよいかわかりません。。
苦肉の策として、
if(isset($_GET['submit'])) {
$keywords = $_GET['keywords'];
$keywords = htmlentities($keywords, ENT_QUOTES, "utf-8");
}
とした上で、
$search = $con->query("
SELECT * FROM kensaku
WHERE $keywordCondition
LIMIT $page_1, $per_page // ページャー
");
$searches = $search->fetchAll(PDO::FETCH_OBJ);
としてしまおうかと考えているところですが、
もし、サンプルコードをご提示頂けるのであれば、是非お願いしたいです。
よろしくお願いいたします。
(横からすみません。どうしてSQL構築時にHTMLエスケープ入れる人が後を絶たないんだろう・・・)
すいません。私の現在の能力ではここまでしか思いつかないのです。。
お助けください。
いえ、htmlentities()なりhtmlspecialchars()の話ですけど、
思いつく云々ではなく「無意味」というのと「非推奨」ということです。
少なからず文字列を変換してしまうことになるので。
画面出力の時にのみ使うものです。
サンプルを追記してみたのでヒントにして考えてみてください。(もっと効率的な書き方はできますが、1行ずつ読みやすいような形で書きました)
* PDOというよりは、PHPでの配列と文字列の扱いの練習という要素が強いと思います。
まずは理想的な$prepareを定義して、どうすればそれを実現できるかについて簡単な例から順に考えてみてください。
自力で実装するのは割と面倒な部類になると思いますが、学習にはいい題材だと思います。
大変参考になりました。私の頭では理解するのに丸1日掛かりましたが良い勉強になりました。短時間でこんな風にコードが書けるのは本当に凄いです。ご指南ありがとうございました。
どこぞの「気づけば~」著者のせいじゃね → htmlspecialchars
その著者さんのことは知りませんが、htmlspecialcharsで済むならコード書くのが楽なので安易にやりがちだと思います。←安易な人
PDOだとintがstringになるし、本当にセキュリティを意識したコードを一瞬で書ける人たちは神ですね。尊敬しかありません。
デバッグをしてないコードを平気で書籍にしちゃう著者
あと、「FBで質問してる人に対して、私は見つけたけど見つけれてないんですか?」とかあおる著者
テンプスタッフの取締役の一人になってるようだけど
m.ts10806さん
> どうしてSQL構築時にHTMLエスケープ入れる人が後を絶たないんだろう・・・
聞いたことがある話だと
「え?エスケープしなきゃ!DBに保存する前にやっとけばそれ使いまわせるじゃーん!!効率も、速度も速くね?俺天才じゃーん!」(一部誇大表現)
的な発想の教師の方がいるらしいです。
それが プロ並みの著者なのだよw
「データの加工」という認識がないのはいかんですね。画面表示だけじゃなくて検索とかにも使うのに
0
ベストアンサー
前提として、SQLを実行するときのカラム名やテーブル名などにプリペアドステートメントは使えません。
投稿2019/12/31 08:10
編集2019/12/31 08:16総合スコア80875
カラム名やテーブル名などとは、つまり$keywordConditionにANDが入っているからダメということでしょうか?
いえ、バインドするのは「値」です。
下記で言えば「:keywordCondition」という使い方はできません。
SELECT * FROM watch
WHERE :keywordCondition
LIMIT :page_1, :per_page
これは変数ではなく、あくまで「値」を適切に与えるための手段だからです。
watch_title LIKE '%hoge%' は「式」です。
watch_title LIKE :title とした上で、
$search->bindValue(':title ','%'.$keyword.'%');
としなければなりません。
もし「検索条件の有無で動的にWhere句が変化する」のであれば、
SQLを作る部分、バインドさせる部分も同じ条件で与える与えないを分岐させる必要があります。
ありがとうございます
> $search->bindValue(':title ','%'.$keyword.'%');
この考え方、非常に参考になりました。
この考え方、、、というか仕様ですし基本です。考え方の問題ではないです。
https://www.php.net/manual/ja/pdostatement.bindvalue.php
https://qiita.com/mpyw/items/b00b72c5c95aac573b71#pdoprepare--pdostatementbindvalue--pdostatementexecute-%E3%81%AE3%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E3%81%A7%E3%82%AF%E3%82%A8%E3%83%AA%E3%82%92%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B
はい、ただこの仕様だとユーザが
カラム名 LIKE %hoge%
カラム名 LIKE %hoge% AND カラム名 LIKE %fuga%
カラム名 LIKE %hoge% AND カラム名 LIKE %fuga% AND カラム名 LIKE %neko%
と、一語、二語、三語と分けて検索した場合にどのように書いてよいか分からず、思案しております。
繰り返すことになりますが、
もし「検索条件の有無で動的にWhere句が変化する」のであれば、
SQLを作る部分、バインドさせる部分も同じ条件で与える与えないを分岐させる必要があります。
あればSQLに追加しバインドも追加
なければなにもしない
です。
$wherecon = [];
if($hoge !== ""){
$wherecon[] = " word like :hoge ";
}
//中略
$sql = " SELECT * FROM watch " ;
$sql .= (count($wherecon) > 0)? " where ".implode(" and ",$wherecon) : "";
//中略
if($hoge !== ""){
$stmt->bindValue(':hoge','%'.$hoge.'%');
}
いつも厳しくご指摘を頂きありがとうございます。最初は途方に暮れておりましたが、こちらのヒントでようやく実装が出来ました。おかげさまで無意味なHTMLエスケープで未来に禍根を残すような安易なコードにならずに済みました。本当に、本当にありがとうございます。
何度も何度も書き直し、動かなくて動かなくて、なんて才能がないんだと呆れる毎日でしたが、もっともっと美しいコードが書けるように頑張りたいと思います。
本当にありがとうございました。
% をちゃんとエスケープしとかないと、未来に禍根を残すよw
なぬ。。(゜Σ゜)モウヤダ・・
te2jiさん、ご指摘ありがとうございます。おかげさまで、今度こそ未来に禍根を残さずに済みそうです。
m.ts10806さん、いつも本当にありがとうございます。またエラーを吐いたら私も吐きそうでしたが頂いた参考URLのおかげで難なく実装できました。ありがとうございました。
あなたの回答
tips
プレビュー
