質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

Q&A

解決済

4回答

1253閲覧

SQLインジェクションなどのハッキングに対しても有効なSQL文について

kimukimu009

総合スコア33

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

0グッド

1クリップ

投稿2021/12/30 02:40

編集2021/12/30 04:18

■解決したいこと:
以下のプログラムを作成していますが、SQLジャンクションなどのハッキング対策ができているのかが不明です。
以下の、SQL文は、ハッキング対策として、妥当なSQL文なのでしょうか?
SQLインジェクションなどのハッキングに対しても有効なSQL文がどうか見ていただきたい。

■仕様:
1.ページAの中で、パスコードを入力してOKボタンを押す
2.ページBに飛ぶ
3.ページBの中で、POSTされたパスコードをDB1と照合する。
4.そのパスコードがDB1のレコードの中にあれば、5へ。
なければ、エラーメッセージを返す
5.パスコードがDB1の中にあるので、
該当レコードの項目をアップデートする。
※DB1の中の項目は、パスコードやユーザ名など、複数の項目をもつレコードで構成されています。レコード数は、1万程度

前提:ロリポップのDBを使用しています。 DB1の概要(実際の項目は、もっと多いです) ----------------------------------- 1 pass1,user1,`customer_name1,ohter1 2 pass2,user2,customer_name2,ohter2 3 pass3,user3.customer_name3,ohter3 -------------------------------- ●●ページA(input.php)●● <form action="check.php" method="post"> PASSWORD:<br /> <input type="password" name="pass" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> NAME:<br /> <input type="text" name="customer_name" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> <input type="submit" style="width: 400px; height: 80px; font-size: 50px;" value="OK" /> </form> ●●ページB(check.php)●● SQL文1(ページBの中で、POSTされたパスコードをDB程度と照合する) <?php $pass = $_POST['pass']; $customer_name = $_POST['customer_name']; $dsn ='●●'; $user = '●●'; $password = '●●'; try{ $dbh = new PDO( $dsn, $user, $password ); }catch( PDOException $error ){ echo "接続失敗:".$error->getMessage(); die(); } $sql = "SELECT * FROM DB1 where pass = '" . $pass . "'"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); if($row==0){ $error[] = "パスコードが間違っていますので、再度入力してください。"; } $sql = "SELECT * FROM DB1 where ((pass = '" . $data['pass'] . "')AND(customer_input =1))"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); ?> ●●SQL2(パスコードがDBの中にあるので、該当レコードの項目をアップデートする)●● <?php $server = "●●"; $userName = "●●"; $password = "●●"; $dbName = "●●"; $mysqli = new mysqli($server, $userName, $password,$dbName); if ($mysqli->connect_error){ echo $mysqli->connect_error; exit(); }else{ $mysqli->set_charset("utf-8"); } $sql = "UPDATE DB1 SET customer_name = '" . $customer_name . "' WHERE pass = '" . $pass . "';"; $result = $mysqli -> query($sql); //クエリー失敗 if(!$result) { echo $mysqli->error; exit(); } ?>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Orlofsky

2021/12/30 02:58

DB1テーブルのCREATE TABLE文も質問に追記してください。
kimukimu009

2021/12/30 03:00

m.ts10806様 Orlofsky様 ご指摘ありがとうございました。 修正いたしました。
guest

回答4

0

コードの断片しかないので、$data$cleanの正体が不明で、最終的な判断は出来ませんが、
コードの書き方としては駄目です。
プログラム全体を熟読しないと、脆弱性があるかどうか判断できないという意味で駄目な書き方。

ちゃんとした入門書で勉強することをおすすめします。
無料のテキストとしては、
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構

投稿2021/12/30 03:26

otn

総合スコア85901

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kimukimu009

2021/12/31 01:11

ありがとうございます。勉強になります。
otn

2021/12/31 05:37

プログラム全体を書かれても、駄目な物は駄目ですので、ちゃんとした各種テキストで勉強して書き直しましょう。 $passが入力値そのままでSQLに組み込んでいるので、初歩レベルの脆弱性です。 $data が未定義なのは変わってませんが、$passがそういう状態なので同じでしょうね。
guest

0

回答では無いです。
SQL インジェクション対策として学習を進めると prepared statement の理解が必須だと分かりますが、言語側から理解するより、DB 側のドキュメントを参考にすると良いですよ。
DB の機能が分かると、非常に理解しやすくなります。

投稿2021/12/31 00:02

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kimukimu009

2021/12/31 01:11

ありがとうございます。勉強になります。
guest

0

ベストアンサー

SQL インジェクション対策はデータベースとプロバイダによっていろいろ違うようですが、基本は SQL 文のパラメータ化です。以下の記事が参考になると思いますので読んでください。

安全なSQLの呼び出し方 - IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/documents/website_security_sql.pdf

質問のコードではユーザー入力で SQL 文の文字列を組み立てているようですが、それでは SQL インジェクションをしてくださいと言っているようなもので、論外です。


【追記】

下のコメント欄の の私のコメントで「Web アプリのセキュリティ全般について回答欄に追記しておきます」と書いた件です。

タイトルに「SQLインジェクション」とあったので、上の回答にはそれについて回答したのですが、もし、SQL インジェクションに限らない Web アプリのセキュリティ全般の話だとすると、範囲が広すぎてこういう Q&A サイトでのやり取りで収まるような話ではなくなってきます。

と言って、質問に書いてあるコードの範囲で議論してもあまり意味はなさそうで、otn さんの回答にあるように書籍などで広く知識を学ばれるのが良さそうです。

ただ、学ぶには時間がかかるので、フレームワークに備わっている機能が利用できるのであれば、とりあえずはそれを利用することを考えるのが良いと思います。考えなくてもフレームワークが自動的にやってくれることもあるかと思います。

PHP は分かりませんが、例えば ASP.NET には以下の記事(日本語版もあったのですが無くなってました)に書いてあるようにフレームワーク組み込みの機能があります。

Take Advantage of ASP.NET Built-in Features to Fend Off Web Attacks
https://docs.microsoft.com/ja-jp/previous-versions/dotnet/articles/ms972969(v=msdn.10)

その記事の「Where the Threats Come From」セクションに攻撃の例がリストされていますが、たとえば Cross-site scripting (XSS) については ASP.NET には <script など攻撃に使われるユーザー入力を許可しないという仕組みが備わっています。(プログラマが設定しなくてもデフォルトでサーバーエラーになる)

また、このスレッドの表題にあった SQL injection については、Visual Studio のデザイナを使ってアプリを作ると、自動的にパラメータ化された SQL 文が使われます。ユーザー入力はリテラルとして扱われるので、悪意のあるユーザーがどのような文字列を入力してきても、リテラルの範囲からはみ出ることはなくなります。

ということで、質問者さんが使うフレームワークの機能を調べてみることをお勧めします。

投稿2021/12/30 03:10

編集2021/12/31 00:47
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kimukimu009

2021/12/30 04:21

ありがとうございます。 プログラムの全体像を示しました。
退会済みユーザー

退会済みユーザー

2021/12/30 23:48

コメントする相手が間違ってませんか? 私ではなくて otn さんでは?
退会済みユーザー

退会済みユーザー

2021/12/30 23:53

タイトルに「SQLインジェクション」とあったので、それについて回答したのですが、求める答えと違ってましたか? もし、SQL インジェクションに限らない Web アプリのセキュリティ全般の話だとすると、範囲が広すぎてこういう Q&A サイトでのやり取りで収まるような話ではなくなってきます。
退会済みユーザー

退会済みユーザー

2021/12/31 00:29

Web アプリのセキュリティ全般について回答欄に追記しておきます。長くなるし、コメント欄では読み難いので。
guest

0

ハッキングはともかく、SQLの値セット部分にそのまま突っ込んでいる時点で無策です。
プリペアドステートメントでパラメータ構成し、値をバインドしてください。

投稿2021/12/30 02:53

m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kimukimu009

2021/12/30 04:22

SQLの値セット部分にそのまま突っ込んでいる時点で無策です。 プリペアドステートメントでパラメータ構成し、値をバインドしてください。 →具体的には、どのようにすればよろしいでしょうか?  よろしくお願いいたします。 → プログラムの全体像を示しました。
m.ts10806

2021/12/30 06:17

調べれば結構出てくるかと思いますが、PHPマニュアル確認を。
m.ts10806

2021/12/30 06:18

それこそプリペアドステートメントはほとんどのプログラミング言語にある概念なので、どういうものかを知るところから
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問