Q&A
###質問
WordPressでデータベースに接続する際に、SQLインジェクション攻撃を防ぐために提供されている関数は「保存、更新、置換」だけで、「取得」がないのはなぜでしょうか?
###「保存、更新、置換」は関数が用意されている
$wpdb->insert
$wpdb->update
$wpdb->replace
など「保存、更新、置換」は、引数に『値と型』を渡せば、サニタイズもprepareも勝手にやってくれますよね。
以下のように『$dataと$format』を渡せば安全に実行されます。
php
1$wpdb->insert( wp_table, $data, $format );
###「取得」は自分で書かないといけない
しかし
$wpdb->get_results
$wpdb->get_col
$wpdb->get_row
など「取得」に関するものたちは、引数が『$query』となっており、自分でサニタイズもprepareもしなければならないようです。
以下のように『prepareを使ったSQL文』を渡さないといけません。さらに値のエスケープも自分で書かないといけないようです。
php
1$wpdb->get_row( $wpdb->prepare("SELECT * FROM wp_table WHERE id = %d", esc_html($id)) );
なぜでしょうか。「取得」も『値と型』を渡すだけで安全にできてくれたっていいだろう、と思うのですが、なぜ「取得」の方はそうなっていないのでしょうか?
この仕様について妥当な理由が知りたいのですが、詳しい方いらっしゃいましたらお願い致します。
###補足
「妥当な理由」といいましたが、「必ずこうだ」というものではなく、「こうではないか」などの推測で十分うれしく思います。
回答3件
0
ベストアンサー
なぜでしょうか。「取得」も『値と型』を渡すだけで安全にできてくれたっていいだろう、と思うのですが、なぜ「取得」の方はそうなっていないのでしょうか?
おそらくは歴史的な経緯かと思います。WordPressは昔からあるプロジェクトですので、一度「直接SQL文を渡す」という形にした関数はそのままサポートし続けざるを得なくなってしまいます。
さらに値のエスケープも自分で書かないといけないようです。
こちらは不要ですし不適切です。esc_htmlは書いての通りHTMLのエスケープに使う関数で、prepareの引数に渡す場面では本来不要です(データベースに入れる時点でesc_htmlしてしまっていた場合は、それに合わせるためにesc_htmlせざるを得ないかもしれませんが、それは設計ミスです)。
prepareの引数に渡す値は「値は SQL エスケープしてはいけません。」とドキュメントに明記されています。
投稿2020/01/27 00:43
総合スコア145184
0
まず$wpdbのことは忘れたほうがいい。
取得なら他の方法があるし$wpdb使いたいと思ってる時点でどこか使い方を間違えてると思っていい。
$wpdbは複雑なプラグイン作りたいとかWordPress内部のことに詳しい人だけが使うもの。
WordPressには互換のために仕方なく残ってる仕様がものすごく多いので
現代ではWordPressの作り方は参考にしてはいけない。
投稿2020/01/27 01:45
総合スコア10377
0
WordPress制作者しかその「妥当な理由」を説明できないのでは。
一番詳しいのは作った人です。最も納得できるのは作った人からの説明かと思います。
興味がおありでしたらWordPressのコアソースを追ってみれば良いかと思います。そこで見えてくることもあるでしょう。
ここで回答を求めてもおそらく推測の域を出ないものです。
それで納得されるかどうかは誰にも分かりませんし、「推測」では「妥当な理由」になり得ないと思っています。
投稿2020/01/27 00:42
総合スコア80850
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/01/27 01:17