Q&A
エスケープ・・・ではないか。
https://www.dbonline.jp/sqlite/type/index4.html
SQL Injectionの勉強をしていて、以下の様なSQL文が動作しているのを見つけました。
これがうまく動くのが理解できなかったのですが、どのような解釈がされて、Where部分が恒真となっているのでしょうか。
以下のようにテーブル作成。
sql
1CREATE TABLE User ( 2 id nchar(10), 3 pass nchar(10) 4); 5 6INSERT INTO User VALUES('admin', 'adminpass');
このテーブルに対して以下のクエリを実行すると、adminのレコードが取得できました。
sql
1SELECT * FROM User where pass = '' != '' --'
このサイトにて現象確認しています。
回答2件
0
ベストアンサー
SELECT文がhamayanhamayanさんが書いた通りですと、"--"が1行コメントの記号として扱われているからですね。
個人的にはA!=B=Cなど、解釈に誤解を招く条件文はできるだけ使わないほうがいいのではないかと思います。
SQL
1SELECT * FROM User where pass = '' != '' --' 2 ↑以降コメント 3 4SELECT * FROM User where pass = '' != '' ='--' 5 ↑これだと0件になる 6 [| TRUE | != '']はTRUE、これに対し='--'なのでFALSEになる 7 8SELECT * FROM User where pass = '' != '' 9 | TRUE | != '' ← なのでデータが表示される 10 11SELECT * FROM User where pass = 'adminpass' != TRUE 12 | TRUE | != TRUE ← なのでデータが表示されない 13 14SELECT * FROM User where pass = 'adm' != TRUE 15 | FALSE | != TRUE ← なのでデータが表示される
投稿2020/02/08 11:41
総合スコア402
なるほど、bool!=文字列はそういう比較になるんですね。
勉強になりました!
いやいや、そういう比較は普通エラーで、やることではないですから。
無事に解決できて何よりです。
私もテストサイトの情報いただきました。
ありがとうございます。
コメントをよく見てませんでした…
saziさんも書かれていますが、本来bool!=文字列という比較は行わないようにすべきです。
A!=B=Cという書き方が、本来行うべきではない動作をしている、と解釈してほしいです。
A!=B AND A=C(解釈次第ではB=C)という感じの明確な条件文を書くことをおすすめします。
質問文中にもありますが、SQL Injectionの勉強の一環ですので、仕様の穴(実装の穴?)となる部分について確認したかったという感じです。
承知しました。
教えた側としましては、間違った実装をするのではないかと心配しますので…
言語によっては穴があったりしますが、それを(知らずに)使用してシステム構築すると、将来的に修正された時(言語のバージョンやOSのアップなど)にシステムが止まるということも起きたりします。
全ての穴を把握するのは無理ですが、知っていて損でもないと思います。
ちなみに私は今回質問に貼られたサイトでパターンを予測して、いろいろSQLを組んで実行し、ググったりして結論を出しました。
動かせる環境がある場合は、自分でいろいろと考えて実行すると、いい勉強になると思います。
好奇心旺盛に楽しんでいただければ幸いです。
0
()が省略されているだけでしょう。
(pass = '') != ''
なら結果は変わりませんが
pass = ('' != '')
だと結果が変わります。
投稿2020/02/08 11:44
総合スコア25327
そもそも、文字列と真偽を比較しているので、他のDBMSならエラーになるかと思います。
確かにMySQL5.6だと挙動が変わりました。
ふしぎ…
あなたの回答
tips
プレビュー
