質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.64%

静的プレースホルダと動的プレースホルダの違い

解決済

回答 1

投稿

  • 評価
  • クリップ 1
  • VIEW 8,149

jun_i

score 12

お世話になっております。

SQLインジェクション対策のため、プレースホルダを調べているのですが、
どうにも分からないことがあるので質問させていただきます。

私なりにプレースホルダ方式は、
「命令文を予め定めておいて、定められた命令文に対してリテラル(パラメータ)を当てはめるもの。リテラルは必ず値として認識される。」
だからSQLインジェクションは起こらないと解釈しました。

しかし、静的プレースホルダと動的プレースホルダの違いが分かりません。

IPAの出している「安全なSQLの呼び出し方」では、
静的プレースホルダは、「SQL文をデータベースエンジン側にあらかじめ送信して、実行前にSQL文の構文解析などを準備しておく方式です。」とあります。
一方、動的プレースホルダは、「パラメータのバインド処理をデータベースエンジン側で行うのではなく、アプリケーション側のライブラリ内で実行する方式です。」と説明されています。

この文だけ読んでも、違いがよく分からなかったので色んな方のサイトを拝見し、調べてみました。

そこで以下のサイトを見つけて読んでみたのですが、

○【PHP】PDOの静的プレースホルダと動的プレースホルダの違いを確認する
http://qiita.com/7968/items/7ddd59b94eb5a4fb6eaf#%E9%9D%99%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A8%E5%8B%95%E7%9A%84%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80%E3%81%A3%E3%81%A6%E6%9C%AC%E5%BD%93%E3%81%AB%E9%81%95%E3%81%86%E3%81%AE

ここに書かれている内容は、静的と動的はログ上では確かに動きが違うということでした。
しかし、コードそのものは、静的と動的を設定する「PDO::ATTR_EMULATE_PREPARES」がtrueかfalseかの違いしかありません。

「安全なSQLの呼び出し方」では、動的プレースホルダは、「バインド処理を実現するライブラリによっては、SQL構文を変化させるようなSQLインジェクションを許してしまう」とあります。

「SQLインジェクションを許してしまう」ような状態とは、具体的にどういった状態なのでしょうか?

静的でも動的でも、記述するコードに変わりがないのであれば、動的プレースホルダを採用した場合、プログラマは何を気をつければよいのでしょうか?

知っている方がおりましたら、教えていただければと思います。

ここまでお読みいただきありがとうございました。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

いちばん原点まで戻ってみますが、静的プレースホルダ(プリペアードステートメント)が生まれたのは、セキュリティ面というより、「予めSQL文を処理しておくことで、値しか変わらないようなクエリが複数回来た時の処理を効率化する」という意味合いで作られていたものです。

当然ではありますが、構文が先に決め打ちとなっていれば、データはデータとしてしか扱えないので、SQLインジェクションが発生する余地もなくなります。

一方で、プリペアードステートメントはサーバ側で対応しないと使えないので、セキュリティ的な意味合いで「サーバ側で対応しなくても使いたい」となって生まれたのが動的プレースホルダです。

動的プレースホルダの場合、SQL文はサーバ外のライブラリで生成しますので、このライブラリにバグがある場合、あるいは文字コード設定がずれている場合(昔のMySQL + PHPだと発生するパターンがあったようです)にはSQLインジェクションを防ぎきれないことがあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/14 18:56

    ご回答いただきありがとうございます。
    つまりデータベースサーバ以外のところ・・・例えば、Webサーバ上でプレースホルダを生成したい時は、動的プレースホルダを使うという理解でよいでしょうか?
    (JavaならAPサーバとかなんでしょうか。Javaはあまり詳しくないのですが。。)

    動的を採用する場合は、使用するライブラリに不具合がないか、バージョンアップはされているかといったところを注意する感じになりそうですね。

    再度の質問で恐縮ですが、
    >セキュリティ的な意味合いで「サーバ側で対応しなくても使いたい」
    というのは、どういった需要の元生まれるのでしょうか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.64%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる