お世話になっております。
SQLインジェクション対策のため、プレースホルダを調べているのですが、
どうにも分からないことがあるので質問させていただきます。
私なりにプレースホルダ方式は、
「命令文を予め定めておいて、定められた命令文に対してリテラル(パラメータ)を当てはめるもの。リテラルは必ず値として認識される。」
だからSQLインジェクションは起こらないと解釈しました。
しかし、静的プレースホルダと動的プレースホルダの違いが分かりません。
IPAの出している「安全なSQLの呼び出し方」では、
静的プレースホルダは、「SQL文をデータベースエンジン側にあらかじめ送信して、実行前にSQL文の構文解析などを準備しておく方式です。」とあります。
一方、動的プレースホルダは、「パラメータのバインド処理をデータベースエンジン側で行うのではなく、アプリケーション側のライブラリ内で実行する方式です。」と説明されています。
この文だけ読んでも、違いがよく分からなかったので色んな方のサイトを拝見し、調べてみました。
そこで以下のサイトを見つけて読んでみたのですが、
○【PHP】PDOの静的プレースホルダと動的プレースホルダの違いを確認する
http://qiita.com/7968/items/7ddd59b94eb5a4fb6eaf#%E9%9D%99%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A8%E5%8B%95%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A3%E3%81%A6%E6%9C%AC%E5%BD%93%E3%81%AB%E9%81%95%E3%81%86%E3%81%AE
ここに書かれている内容は、静的と動的はログ上では確かに動きが違うということでした。
しかし、コードそのものは、静的と動的を設定する「PDO::ATTR_EMULATE_PREPARES」がtrueかfalseかの違いしかありません。
「安全なSQLの呼び出し方」では、動的プレースホルダは、「バインド処理を実現するライブラリによっては、SQL構文を変化させるようなSQLインジェクションを許してしまう」とあります。
「SQLインジェクションを許してしまう」ような状態とは、具体的にどういった状態なのでしょうか?
静的でも動的でも、記述するコードに変わりがないのであれば、動的プレースホルダを採用した場合、プログラマは何を気をつければよいのでしょうか?
知っている方がおりましたら、教えていただければと思います。
ここまでお読みいただきありがとうございました。
よろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/06/14 09:56