質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

Q&A

解決済

1回答

1690閲覧

wordpressプラグイン作成時のデータベース呼び出しについて

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

0グッド

1クリップ

投稿2017/02/23 07:55

編集2017/02/23 12:11

独学でwordpressのプラグインの作成、勉強をしています。
データベースの内容を読み込んで利用するときに
例として以下のようにしています。

データベースにアクセスしてるのは複数ありますが、
主にはselectとupdateで以下の2つような形を使いまわしております。

global $wpdb; $result = $wpdb->get_results( "SELECT * FROM wp_posts ORDER BY post_date ASC" ); foreach ($result as $value){ //もろもろ処理が入ってます。 } //特定のidの記事のデータ一部を更新してます。 $post_id = $value->ID; $wpdb->update($wpdb->posts, array( 'カラム名1' => 値1, 'カラム名2' => 値2 ), array( 'ID' => $post_id ) );

特にエラーなどもなく、作成したプラグイン自体は正常に動作はしているのですが、
wordpress.orgの公式にプラグインをアップの申請をした際に、

wordpress.orgからの返答で、以下のような内容が英語できました。
(申し訳ないですが英語ができないため、返答をgoogle翻訳した結果になります。)

「##安全でないSQLコール
データベース呼び出しを行うときには、SQLインジェクションの脆弱性からコードを保護するために非常に重要です。あなたはそれらを保護するためのクエリで()の準備使用するようにコードを更新する必要があります。

いっしょに、参考のURLも記載されていたのですが、リンク先がいずれも英語のため、
よく理解できずじまいの状態です。

原文は以下です。

引用テキスト

Unsafe SQL calls

When making database calls, it's highly important to protect > your code from SQL injection vulnerabilities. You need to > > update your code to use prepare() with your queries to protect > them.

Please review the following:

セキュリティ的な問題があるということはなんとなくわかったのですが、
結果的にどのような形にしたら良いのかアドバイス、ヒント等ご教授いただければ幸いです。

よろしくお願いいたします。
追記:情報が不足していてすみませんでした。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kei344

2017/02/23 08:29

質問文のコードはコードブロックで囲んでいただけませんか? ```(バッククオート3つ)で囲み、前後に改行をいれるか、コードを選択して「<code>」ボタンを押すとコードブロックになります。また、翻訳文だけでなく原文を載せてください。あと、「引用」もマークダウンで表現できるので、それもつかってください。
maisumakun

2017/02/23 08:40

作成したプラグインの中で、データベースアクセスはそこ1箇所だけですか?
guest

回答1

0

ベストアンサー

You need to update your code to use prepare() with your queries to protect them.

とあるとおり、prepare関数を使ってください。

また、WordPressのプラグイン開発、セキュリティに関する情報は、日本語のものもたくさんあるので、最低限ひととおり目を通してください。

参考URL例

投稿2017/02/24 06:55

編集2017/02/24 06:58
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2017/02/24 10:07

ご回答ありがとうございます! 調査不足でした。prepare関数というのに、たどりつけてなかったです。 すぐ翻訳に頼りすぎました… 大変助かりました
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問