質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

Q&A

解決済

1回答

19514閲覧

静的プレースホルダと動的プレースホルダの違い

jun_i

総合スコア14

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

3グッド

2クリップ

投稿2016/06/14 08:55

お世話になっております。

SQLインジェクション対策のため、プレースホルダを調べているのですが、
どうにも分からないことがあるので質問させていただきます。

私なりにプレースホルダ方式は、
「命令文を予め定めておいて、定められた命令文に対してリテラル(パラメータ)を当てはめるもの。リテラルは必ず値として認識される。」
だからSQLインジェクションは起こらないと解釈しました。

しかし、静的プレースホルダと動的プレースホルダの違いが分かりません。

IPAの出している「安全なSQLの呼び出し方」では、
静的プレースホルダは、「SQL文をデータベースエンジン側にあらかじめ送信して、実行前にSQL文の構文解析などを準備しておく方式です。」とあります。
一方、動的プレースホルダは、「パラメータのバインド処理をデータベースエンジン側で行うのではなく、アプリケーション側のライブラリ内で実行する方式です。」と説明されています。

この文だけ読んでも、違いがよく分からなかったので色んな方のサイトを拝見し、調べてみました。

そこで以下のサイトを見つけて読んでみたのですが、

○【PHP】PDOの静的プレースホルダと動的プレースホルダの違いを確認する
http://qiita.com/7968/items/7ddd59b94eb5a4fb6eaf#%E9%9D%99%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A8%E5%8B%95%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A3%E3%81%A6%E6%9C%AC%E5%BD%93%E3%81%AB%E9%81%95%E3%81%86%E3%81%AE

ここに書かれている内容は、静的と動的はログ上では確かに動きが違うということでした。
しかし、コードそのものは、静的と動的を設定する「PDO::ATTR_EMULATE_PREPARES」がtrueかfalseかの違いしかありません。

「安全なSQLの呼び出し方」では、動的プレースホルダは、「バインド処理を実現するライブラリによっては、SQL構文を変化させるようなSQLインジェクションを許してしまう」とあります。

「SQLインジェクションを許してしまう」ような状態とは、具体的にどういった状態なのでしょうか?

静的でも動的でも、記述するコードに変わりがないのであれば、動的プレースホルダを採用した場合、プログラマは何を気をつければよいのでしょうか?

知っている方がおりましたら、教えていただければと思います。

ここまでお読みいただきありがとうございました。

よろしくお願いいたします。

stereo_code, KiyoshiMotoki, A-pZ👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

いちばん原点まで戻ってみますが、静的プレースホルダ(プリペアードステートメント)が生まれたのは、セキュリティ面というより、「予めSQL文を処理しておくことで、値しか変わらないようなクエリが複数回来た時の処理を効率化する」という意味合いで作られていたものです。

当然ではありますが、構文が先に決め打ちとなっていれば、データはデータとしてしか扱えないので、SQLインジェクションが発生する余地もなくなります。

一方で、プリペアードステートメントはサーバ側で対応しないと使えないので、セキュリティ的な意味合いで「サーバ側で対応しなくても使いたい」となって生まれたのが動的プレースホルダです。

動的プレースホルダの場合、SQL文はサーバ外のライブラリで生成しますので、このライブラリにバグがある場合、あるいは文字コード設定がずれている場合(昔のMySQL + PHPだと発生するパターンがあったようです)にはSQLインジェクションを防ぎきれないことがあります。

投稿2016/06/14 09:16

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

jun_i

2016/06/14 09:56

ご回答いただきありがとうございます。 つまりデータベースサーバ以外のところ・・・例えば、Webサーバ上でプレースホルダを生成したい時は、動的プレースホルダを使うという理解でよいでしょうか? (JavaならAPサーバとかなんでしょうか。Javaはあまり詳しくないのですが。。) 動的を採用する場合は、使用するライブラリに不具合がないか、バージョンアップはされているかといったところを注意する感じになりそうですね。 再度の質問で恐縮ですが、 >セキュリティ的な意味合いで「サーバ側で対応しなくても使いたい」 というのは、どういった需要の元生まれるのでしょうか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問