質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

解決済

SQLインジェクションなどのハッキングに対しても有効なSQL文について

kimukimu009
kimukimu009

総合スコア33

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

4回答

0評価

1クリップ

363閲覧

投稿2021/12/30 02:40

編集2021/12/30 04:18

■解決したいこと:
以下のプログラムを作成していますが、SQLジャンクションなどのハッキング対策ができているのかが不明です。
以下の、SQL文は、ハッキング対策として、妥当なSQL文なのでしょうか?
SQLインジェクションなどのハッキングに対しても有効なSQL文がどうか見ていただきたい。

■仕様:
1.ページAの中で、パスコードを入力してOKボタンを押す
2.ページBに飛ぶ
3.ページBの中で、POSTされたパスコードをDB1と照合する。
4.そのパスコードがDB1のレコードの中にあれば、5へ。
なければ、エラーメッセージを返す
5.パスコードがDB1の中にあるので、
該当レコードの項目をアップデートする。
※DB1の中の項目は、パスコードやユーザ名など、複数の項目をもつレコードで構成されています。レコード数は、1万程度

前提:ロリポップのDBを使用しています。 DB1の概要(実際の項目は、もっと多いです) ----------------------------------- 1 pass1,user1,`customer_name1,ohter1 2 pass2,user2,customer_name2,ohter2 3 pass3,user3.customer_name3,ohter3 -------------------------------- ●●ページA(input.php)●● <form action="check.php" method="post"> PASSWORD:<br /> <input type="password" name="pass" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> NAME:<br /> <input type="text" name="customer_name" size="30" style="width: 400px; height: 50px; font-size: 40px;" value=""/><br /><br /> <input type="submit" style="width: 400px; height: 80px; font-size: 50px;" value="OK" /> </form> ●●ページB(check.php)●● SQL文1(ページBの中で、POSTされたパスコードをDB程度と照合する) <?php $pass = $_POST['pass']; $customer_name = $_POST['customer_name']; $dsn ='●●'; $user = '●●'; $password = '●●'; try{ $dbh = new PDO( $dsn, $user, $password ); }catch( PDOException $error ){ echo "接続失敗:".$error->getMessage(); die(); } $sql = "SELECT * FROM DB1 where pass = '" . $pass . "'"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); if($row==0){ $error[] = "パスコードが間違っていますので、再度入力してください。"; } $sql = "SELECT * FROM DB1 where ((pass = '" . $data['pass'] . "')AND(customer_input =1))"; $stmt = $dbh->query( $sql ); $stmt->execute(); $row=$stmt->rowCount(); ?> ●●SQL2(パスコードがDBの中にあるので、該当レコードの項目をアップデートする)●● <?php $server = "●●"; $userName = "●●"; $password = "●●"; $dbName = "●●"; $mysqli = new mysqli($server, $userName, $password,$dbName); if ($mysqli->connect_error){ echo $mysqli->connect_error; exit(); }else{ $mysqli->set_charset("utf-8"); } $sql = "UPDATE DB1 SET customer_name = '" . $customer_name . "' WHERE pass = '" . $pass . "';"; $result = $mysqli -> query($sql); //クエリー失敗 if(!$result) { echo $mysqli->error; exit(); } ?>

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

Orlofsky

2021/12/30 02:58

DB1テーブルのCREATE TABLE文も質問に追記してください。
kimukimu009

2021/12/30 03:00

m.ts10806様 Orlofsky様 ご指摘ありがとうございました。 修正いたしました。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます