Q&A
###前提・実現したいこと
Play 2.4(Scala) + Slick 3.0(MySQL 5.5) を利用しています。
表題通りの質問ですが、SlickのPlain SQLを利用して、WEHRE句を動的に変更した場合の
SQL Injection対策についてスマートな記法がないか悩んでおります。
下記の場合、nameに「2%' or 1=1-- 」といった文字列が来た場合などに、
SQL Injectionされてしまいます。
###該当のソースコード
scala
1// 外部入力されるnameであいまい検索をしたい 2val whereState = "and name like '%$name%'" 3 4sql"select * from a_table where age = 20 #$whereState"
SQL Injection攻撃されないスマートな記述方法がわかるかた、ご教授いただけないでしょうか。
よろしくお願いします。
回答3件
0
文字列の最後の or 0 = 0 などと書いてあるとテーブルの全件が対象になって、ごそっとデータが盗まれます。
初歩的なチェック方法としては name に英字、マルチバイト(漢字、ひらがな、かたかな)以外をエラーとする、とか。
投稿2016/10/06 04:03
総合スコア16415
0
元のソースは "and name like" までを動的に加えているので、外部入力された name の値が空文字、あるいはNULLのときは加えたくないということですかね?
AND LIKE '%%' となればNULL以外の全件が対象になるので同じことかもしれませんが……
そのやり方については、この辺で解説しておきましたので、良かったらご覧ください。
http://qiita.com/kantomi/items/d7316b7dc7a0cf8512e1
http://qiita.com/kantomi/items/1c1f3ee99031d7e4b6a2
つまり、
and (name like パラメータ OR パラメータ IS NULL)
あるいは、パラメータに空文字がくるときは
and (name like パラメータ OR パラメータ = '')
となるようにすれば、動的なWHERE句の生成を避けることができます。
投稿2016/10/06 07:42
編集2016/10/06 07:45
総合スコア295
0
ベストアンサー
公式のドキュメントを読む限り、Slick は
「可能な限りプリペアドステートメントを使用する」
と記載があります。
http://slick.lightbend.com/doc/3.0.3/database.html#connection-pools
Slick uses prepared statements wherever possible
しかし、ご提示のソースコードのままではプリペアドステートメントは使用できないはずです。
なぜなら、MySQLでは値の一部だけをバインドパラメータで指定することはできないからです。
(LIKE 句の"%"も「値」に含まれます)
というわけで、以下のようにソースコードを修正すると、うまくいくかも知れません。
scala
1// 外部入力された name の値 2val name = "hoge"; 3val nameLike = "%" + name + "%"; 4 5sql"select * from a_table where age = 20 and name like ${nameLike}"
http://slick.lightbend.com/doc/3.0.3/sql.html#string-interpolation
ただし、恐縮ではありますが、手元に環境が無いため、当方では動作確認しておりません。
ご自身の環境で試してみてもらえますでしょうか?
投稿2016/10/06 05:27
総合スコア4791
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/10/06 05:20
2016/10/06 06:00