ユーザーからの入力値をSQL文の変数に利用について

現在、PHPにてDBの情報をブラウザで閲覧するプログラムを作成しています。
SQLインジェクション対策を勉強中ですが、下記の疑問に関しご教授いただければ幸いです

ユーザー入力値をSQL文に使用しない下記の例の場合、
識別子に変数を利用することで、インジェクション攻撃の危険性はあるのでしょうか。

例）SQLに使用するDBが複数あります。

DataBase_A
DataBase_B
DataBase_C
DataBase_D

ユーザーによって使用するDBが異なるため（DataBase部分が異なりA~Bは同じ）、
INIファイルにDataBase部分を定義し、SQLを下記のように記述

;iniファイル

DataBaseName = DataBase

PHP
1
2$dataBaseName = $ini['DataBaseName']
3
4$sql = <<<SQL
5SELECT A.COL,B.COL
6FROM {$dataBaseName}_A AS A JOIN {$dataBaseName}_B AS B ON A.COL = B.COL
7SQL;

行動規範の内容に同意します

回答2件

ベストアンサー

$dataBaseNameとありますがテーブル名ですよね？

ほぼほぼ問題なさそうにも見えますが、変数でわたさなくても
分岐で処理すればよいような気もします。
とくに変数で渡したDBなりテーブルが必ず存在するかどうかの
チェックも必要かと思います

投稿2017/03/28 13:06

yambejp

総合スコア114843

sanpei

2017/03/29 00:57 編集

ご回答ありがとうございます。すいませんPHPソースの記載間違いで、実際は FROM [DataBase_A].[dbo].TabA AS A JOIN [DataBase_B].[dbo].TabA というかんじででDB名を指定していました。そこで「DataBase」の部分だけが異なる別のDBに接続するのに INIファイルの記載を変更することで、 PHPに記載されているSQL文のFROM句を一括変更できればと考えました。 FROM [（変数）_A].[dbo].TabA AS A JOIN [（変数）_B].[dbo].TabA 勉強不足すぎて恐縮ですが、「変数で渡さずに分岐で処理する」とはどういう意味でしょうか。概要だけでもご教授いただけないでしょうか。

yambejp

2017/03/29 02:40 編集

DB名やテーブル名は変数から生成するのではなく、スタティックに指定するということです。一番単純な分岐はifですね if($user=="Aさん"){ $sql="SELECT * FROM `DB_X`"; }elseif($user=="Bさん"){ $sql="SELECT * FROM `DB_Y`"; } リストをつかって $user="Aさん"; $list=["Aさん"=>"DB_X","Bさん"=>"DB_Y"]; if(array_key_exists($user,$list)){ $sql="SELECT * FROM `{$list[$user]}`"; } のような書き方もできると思います。想定外のデータがくれば$sqlは空なので判断できます

sanpei

2017/03/29 07:17

事前にユーザー毎にDBを割り当てて、条件によってSQLを組み立てるのですね。値の存在チェック、配列を利用する方法など勉強になります。基本的なことなのにご丁寧に回答いただきありがとうございました！

行動規範の内容に同意します