質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • PHP

    19874questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5701questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • SQL

    2327questions

    SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP SQLインジェクション対策について

受付中

回答 2

投稿 ・編集

  • 評価
  • クリップ 2
  • VIEW 2,148

K_T_T_K

score 304

PHP・Mysqlを使用してSQLインジェクションについての質問です。

SQLインジェクション対策について皆様はどのようなコードを書いておられるでしょうか?

SQLインジェクションはエスケープをして対策をするかと思いますが、どの関数などを使い
どんなコードを書いていますでしょうか?

たとえば、以下を使うのが良いでしょうか?
http://php.net/manual/ja/pdo.quote.php

皆様のSQLインジェクションの対策を教えてください。

宜しくお願いします。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+1

PDOであればbindValueを使っています。
LIKE句には別の対応も必要だったと思いますが…
フレームワークを使う場合はフレームワークがだいたいやってくれるのであまり気にしていません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2014/10/25 22:46

    TaMaMhyu様
    いつも回答ありがとうございます!

    bindValueですか!
    なるほど。

    LIKE句は
    http://php.net/manual/ja/function.pg-query-params.php
    ですかね?

    そうですね!

    キャンセル

  • 2014/10/25 22:59

    LIKE句については趣旨がずれる話(SQLインジェクション以前の問題)なのですが、何もしないと、検索機能として機能不全(特定の文字列が検索できない)になってしまう問題があります。

    この辺の情報が参考になるでしょうか。
    http://qiita.com/mpyw/items/b00b72c5c95aac573b71#2-5

    キャンセル

  • 2014/10/26 08:32

    TaMaMhyu様

    >何もしないと、検索機能として機能不全(特定の文字列が検索できない)になってしまう問題があります。

    なるほど。
    そういう事でしたか。

    参考になる記事の紹介ありがとうございます!

    キャンセル

+1

初めまして、K_T_T_Kさん。
解答失礼いたします。

SQLインジェクション対策のコードをどのようにしているかとのことですが、
私もTaMaMhyuさんと同じでPDOとbindParamを主に利用していますね。

bindParamでは少しコードが冗長になってしまいますので
値の数が少ない場合は配列で直接渡してしまう事もあります。

プリペアドステートメントを使い、プレースホルダーで値をセットする場合は
PHP側で自動的にエスケープ処理をしてくれますので、便利ですね。

bindParamを用いない場合
<?php
    // 例:ユーザーが他のユーザーのIDを入力してデータを取得するプログラム
    $pdo = new PDO(DSN, DB_USER, DB_PASSWORD);

    $user_id = $_POST["user_id"];
    
    $sql = "SELECT * FROM users WHERE `user_id` = :user_id";
    $stmt = $pdo->prepare($sql);
    $params = array(":user_id",$user_id);

    $stmt->execute($params);
?>

bindParamを用いる場合
<?php
    // 例:ユーザーが他のユーザーのIDを入力してデータを取得するプログラム
    $pdo = new PDO(DSN, DB_USER, DB_PASSWORD);

    $user_id = $_POST["user_id"];
    
    $sql = "SELECT * FROM users WHERE `user_id` = :user_id";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(":user_id",$user_id);

    $stmt->execute();
?>

bindParamを使う上での注意点(LIMIT句)
<?php
    // 例:新規登録したユーザーを入力された数値分、表示するプログラム
    $pdo = new PDO(DSN, DB_USER, DB_PASSWORD);

    $limit = $_POST["limit"];
    
    $sql = "SELECT * FROM users ORDER BY created DESC LIMIT 0, :limit";
    $stmt = $pdo->prepare($sql);
    $stmt->bindParam(":limit",$limit,PDO::PARAM_INT);

    $stmt->execute();
?>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2014/10/27 19:35

    はじめまして、rui3718様。
    詳しい回答ありがとうございます!
    サンプルコードありがとうございます!

    >プリペアドステートメントを使い、プレースホルダーで値をセットする場合は
    PHP側で自動的にエスケープ処理をしてくれますので、便利ですね

    なるほど!
    参考になります!

    キャンセル

  • 2014/10/27 22:38

    K_T_T_Kさん、ありがとうございます。
    サンプルコードのところに、bindParamを使った場合の
    サンプルコードを足しておきました。

    それとSQLインジェクションとは直接的関係はありませんし、
    蛇足もしれませんが、bindParamを使う上での
    注意しなければいけない点がありますので、そちらも追記しておきました。

    bindParamで変数とパラメータを紐つける際に、明示的に変数の型を指定してあげないと、予期せぬエラーを起こしてしまう場合があります。

    その中で代表的な例がMySQLのLIMIT句への紐付けで、数値として明示的に指定してあげないと、エラーを起こして、そもそもSQL文が実行できなかったりしてしまいます。

    もし、SQL文にもエラーは見当たらないし、変数とパラメータの名前があっている場合は、変数とパラメータの方を疑ってみると解決するかもしれません。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    19874questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5701questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • SQL

    2327questions

    SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

  • セキュリティー

    447questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。