Q&A
無関係では。https://teratail.com/tags/dBASE
PHP,セキュリティーのタグが必要では。
■解決したいこと:
以下のプログラムを作成していますが、SQLジャンクションなどのハッキング対策ができているのかが不明です。
以下の、SQL文は、ハッキング対策として、妥当なSQL文なのでしょうか?
SQLインジェクションなどのハッキングに対しても有効なSQL文がどうか見ていただきたい。
■仕様:
1.ページAの中で、パスコードを入力してOKボタンを押す
2.ページBに飛ぶ
3.ページBの中で、POSTされたパスコードをDB1と照合する。
4.そのパスコードがDB1のレコードの中にあれば、5へ。
なければ、エラーメッセージを返す
5.パスコードがDB1の中にあるので、
該当レコードの項目をアップデートする。
※DB1の中の項目は、パスコードやユーザ名など、複数の項目をもつレコードで構成されています。レコード数は、1万程度
前提:ロリポップのDBを使用しています。 DB1の概要(実際の項目は、もっと多いです) ----------------------------------- 1 pass1,user1,`customer_name1,ohter1 2 pass2,user2,customer_name2,ohter2 3 pass3,user3.customer_name3,ohter3 -------------------------------- ●●ページA(input.php)●● <form action="check.php" method="post"> PASSWORD:<br /> <input type="password" name="pass" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> NAME:<br /> <input type="text" name="customer_name" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> <input type="submit" style="width: 400px; height: 80px; font-size: 50px;" value="OK" /> </form> ●●ページB(check.php)●● SQL文1(ページBの中で、POSTされたパスコードをDB程度と照合する) <?php $pass = $_POST['pass']; $customer_name = $_POST['customer_name']; $dsn ='●●'; $user = '●●'; $password = '●●'; try{ $dbh = new PDO( $dsn, $user, $password ); }catch( PDOException $error ){ echo "接続失敗:".$error->getMessage(); die(); } $sql = "SELECT * FROM DB1 where pass = '" . $pass . "'"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); if($row==0){ $error[] = "パスコードが間違っていますので、再度入力してください。"; } $sql = "SELECT * FROM DB1 where ((pass = '" . $data['pass'] . "')AND(customer_input =1))"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); ?> ●●SQL2(パスコードがDBの中にあるので、該当レコードの項目をアップデートする)●● <?php $server = "●●"; $userName = "●●"; $password = "●●"; $dbName = "●●"; $mysqli = new mysqli($server, $userName, $password,$dbName); if ($mysqli->connect_error){ echo $mysqli->connect_error; exit(); }else{ $mysqli->set_charset("utf-8"); } $sql = "UPDATE DB1 SET customer_name = '" . $customer_name . "' WHERE pass = '" . $pass . "';"; $result = $mysqli -> query($sql); //クエリー失敗 if(!$result) { echo $mysqli->error; exit(); } ?>
ここの掲示板ではMarkdownの使い方を覚えてください。
コードは https://teratail.com/help/question-tips#questionTips3-7 の [コード] に修正してください。
DB1テーブルのCREATE TABLE文も質問に追記してください。
m.ts10806様
Orlofsky様
ご指摘ありがとうございました。
修正いたしました。
回答4件
0
コードの断片しかないので、$dataや$cleanの正体が不明で、最終的な判断は出来ませんが、
コードの書き方としては駄目です。
プログラム全体を熟読しないと、脆弱性があるかどうか判断できないという意味で駄目な書き方。
ちゃんとした入門書で勉強することをおすすめします。
無料のテキストとしては、
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
投稿2021/12/30 03:26
総合スコア84712
ありがとうございます。勉強になります。
プログラム全体を書かれても、駄目な物は駄目ですので、ちゃんとした各種テキストで勉強して書き直しましょう。
$passが入力値そのままでSQLに組み込んでいるので、初歩レベルの脆弱性です。
$data が未定義なのは変わってませんが、$passがそういう状態なので同じでしょうね。
0
回答では無いです。
SQL インジェクション対策として学習を進めると prepared statement の理解が必須だと分かりますが、言語側から理解するより、DB 側のドキュメントを参考にすると良いですよ。
DB の機能が分かると、非常に理解しやすくなります。
投稿2021/12/31 00:02
退会済みユーザー
総合スコア0
0
ベストアンサー
SQL インジェクション対策はデータベースとプロバイダによっていろいろ違うようですが、基本は SQL 文のパラメータ化です。以下の記事が参考になると思いますので読んでください。
安全なSQLの呼び出し方 - IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/documents/website_security_sql.pdf
質問のコードではユーザー入力で SQL 文の文字列を組み立てているようですが、それでは SQL インジェクションをしてくださいと言っているようなもので、論外です。
【追記】
下のコメント欄の の私のコメントで「Web アプリのセキュリティ全般について回答欄に追記しておきます」と書いた件です。
タイトルに「SQLインジェクション」とあったので、上の回答にはそれについて回答したのですが、もし、SQL インジェクションに限らない Web アプリのセキュリティ全般の話だとすると、範囲が広すぎてこういう Q&A サイトでのやり取りで収まるような話ではなくなってきます。
と言って、質問に書いてあるコードの範囲で議論してもあまり意味はなさそうで、otn さんの回答にあるように書籍などで広く知識を学ばれるのが良さそうです。
ただ、学ぶには時間がかかるので、フレームワークに備わっている機能が利用できるのであれば、とりあえずはそれを利用することを考えるのが良いと思います。考えなくてもフレームワークが自動的にやってくれることもあるかと思います。
PHP は分かりませんが、例えば ASP.NET には以下の記事(日本語版もあったのですが無くなってました)に書いてあるようにフレームワーク組み込みの機能があります。
Take Advantage of ASP.NET Built-in Features to Fend Off Web Attacks
https://docs.microsoft.com/ja-jp/previous-versions/dotnet/articles/ms972969(v=msdn.10)
その記事の「Where the Threats Come From」セクションに攻撃の例がリストされていますが、たとえば Cross-site scripting (XSS) については ASP.NET には <script など攻撃に使われるユーザー入力を許可しないという仕組みが備わっています。(プログラマが設定しなくてもデフォルトでサーバーエラーになる)
また、このスレッドの表題にあった SQL injection については、Visual Studio のデザイナを使ってアプリを作ると、自動的にパラメータ化された SQL 文が使われます。ユーザー入力はリテラルとして扱われるので、悪意のあるユーザーがどのような文字列を入力してきても、リテラルの範囲からはみ出ることはなくなります。
ということで、質問者さんが使うフレームワークの機能を調べてみることをお勧めします。
投稿2021/12/30 03:10
編集2021/12/31 00:47退会済みユーザー
総合スコア0
ありがとうございます。
プログラムの全体像を示しました。
コメントする相手が間違ってませんか? 私ではなくて otn さんでは?
タイトルに「SQLインジェクション」とあったので、それについて回答したのですが、求める答えと違ってましたか? もし、SQL インジェクションに限らない Web アプリのセキュリティ全般の話だとすると、範囲が広すぎてこういう Q&A サイトでのやり取りで収まるような話ではなくなってきます。
Web アプリのセキュリティ全般について回答欄に追記しておきます。長くなるし、コメント欄では読み難いので。
0
ハッキングはともかく、SQLの値セット部分にそのまま突っ込んでいる時点で無策です。
プリペアドステートメントでパラメータ構成し、値をバインドしてください。
投稿2021/12/30 02:53
総合スコア80854
SQLの値セット部分にそのまま突っ込んでいる時点で無策です。
プリペアドステートメントでパラメータ構成し、値をバインドしてください。
→具体的には、どのようにすればよろしいでしょうか?
よろしくお願いいたします。
→
プログラムの全体像を示しました。
調べれば結構出てくるかと思いますが、PHPマニュアル確認を。
それこそプリペアドステートメントはほとんどのプログラミング言語にある概念なので、どういうものかを知るところから
まとめ記事なら評価高めのものを。
https://qiita.com/mpyw/items/b00b72c5c95aac573b71
あなたの回答
tips
プレビュー
