Q&A
「との記載がありました」出典を明らかにしてください。文脈によって判断が分かれる恐れがあります。また、可能であれば、ご自身で調査した内容についても追記してください。
プレースホルダのことを調べていましたがその際に
バインド処理を実現するライブラリによっては,SQL構文を変化させるようなSQLインジェクションを許してしまう,脆弱な実装のものが存在する可能性を否定できない。
よって,SQLインジェクション脆弱性対策には,なるべく静的プレースホルダを使用することを推奨する。
との記載がありました。
なので静的プレースホルダを使用すると思っていたのですがなぜPHPのデフォルトは動的プレースホルダがデフォルトになっているのでしょうか?
動的プレースホルダを使いたい場合は実際にどのような注意をすればいいのでしょうか?
ご解答宜しくお願いいたします。
出典
リンク内容
回答4件
0
ベストアンサー
なぜPHPのデフォルトは動的プレースホルダがデフォルトになっているのでしょうか?
これは、動的プレースホルダにするメリットもあるということと、歴史的な経緯によるものです。
MySQLは元々静的プレースホルダ(prepared statement)をサポートしておらず、4.1になって追加されました。そのため、デフォルトが動的プレースホルダになっているという状況があります。
また、静的プレースホルダが後から追加されたということもあり、性能や安定性が、動的プレースホルダの方が優れているので、デフォルトが動的プレースホルダになっている、という面もあると思います。
動的プレースホルダを使いたい場合は実際にどのような注意をすればいいのでしょうか?
動的プレースホルダを使っていてSQLインジェクション脆弱性が問題になるのは、以下のケースが考えられます。
- PHPやMySQのドライバに脆弱性がある場合
- PDO等の使い方に問題がある場合
実はいずれも、「文字エンコーディング」の設定や扱い方に問題がある場合というのが典型的なケースとなります。現実問題としては、文字エンコーディングとしてUTF-8を使ってる限りにおいては、問題になる可能性はかなり低いと予想されます。
また、文字エンコーディングを正しく指定することが重要です。その辺りの経緯も含めて、下記の記事を参考にしていただければと思います。
投稿2017/01/13 09:01
編集2017/01/13 13:44
総合スコア11701
横から失礼します。
> 性能や安定性が、静的プレースホルダの方が優れているので、デフォルトが動的プレースホルダになっている、という面もあると思います。
は、
「動的プレースホルダの方が優れているので」
の誤記でしょうか?
文脈的に、その方が自然なように感じますので。
その通りです。ご指摘ありがとうございます。先程修正しました。
レスありがとうございます。
勉強させていただきました。
0
投稿2017/01/12 21:03
退会済みユーザー
総合スコア0
0
こういった内容は基本公式見解、または権威のあるサイトを踏襲する方がよろしいと思います。
「IPAの基準を満たして作成された」と言えればリスクヘッジにもなりますし。
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
安全なSQLの呼び出し方
http://www.ipa.go.jp/files/000017320.pdf
投稿2017/01/13 01:14
総合スコア686
0
静的か動的かによっていくつかの違いがあります
たとえば、bindValueの再利用
SQL
1 $sql="SELECT * FROM tbl WHERE a=:x and b=:x"; 2 $stmt = $pdo->prepare($sql); 3 $stmt->bindValue(':x',10, PDO::PARAM_INT); 4 $stmt->execute();
上記を実行した場合、動的プレースホルダとしては問題ありませんが
静的プレースホルダだとエラーになります。
さまざまな配慮があってデフォルト設定が決まっているのでしょう。
投稿2017/01/13 00:33
総合スコア114843
あなたの回答
tips
プレビュー
