Q&A
なぜ実際にご自身でやってみないのですか?
SQLインジェクション対策について勉強しだしました。
そこで疑問が浮かんだのですが、
SQL
1PREPARE login_statement (text, text) AS 2SELECT * FROM users WHERE id = $1 AND pass = $2;
でステートメントを用意したとして。
SQL
1EXECUTE login_statement($id , $pass);
で呼び出す際に、
$id = , ''); INSERT INTO users VALUES ('hogeid
$pass = hogepass
を渡された場合、
SQL
1EXECUTE login_statement('', ''); INSERT INTO users VALUES ('hogeid', 'hogepass')
こうなると思いますが
このINSERTは実行されますか?
実際にサイトを作らないといけないからです。
ここは作る人向け質問サイトですよ
作ろうと思えば作れると思いますが、今は大学の課題が溜まっていて時間が取れないです。質問に答えていただけませんか。m(_ _)m
回答3件
0
ベストアンサー
他の方も書いてますが、問題ありません。
プリペアドステートメントはDB側の仕組みでアプリケーションプログラムで文字列連結を行うものとは異なります。
一般的なDB製品では「置換する前のSQL」と「パラメータ」が別々に送信され、パラメータの適用はDB側で行います。
荒っぽくいってしまえばDBはSQL本体とパラメータとの区別がSQL発行時にわかっているので良きに解釈してくれるということです。
余談ですが、プリペアドステートメントをつかうと
①「置換前のSQLの解析->パラメータの適用」
とDB側で処理が行われるのに対し、使わないと
②「パラメータ置換後のSQLの解析」
のみが行われます。
いずれもSQLの解析結果をDB側でキャッシュしますが、①はパラメータが違う場合でも同じキャッシュが利用できるのに対し、②はパラメータが異なればキャッシュが異なります。なのでキャッシュのヒット率は①が断然いいケースがほとんどです。なのでセキュリティ的にも性能的にもプリペアドステートメントは有利。
さらに余談ですが、プリペアドステートメントつかっても少し自力エスケープを意識しなきゃならないケースもあります。そのひとつはlike検索などワイルドカード使う場合でしょうか。
例えば"%"を検索パラメータとして与えた場合、これがが検索対象なのか、ワイルドカードなのかDB側ではわからないためです。
※結構この対策漏れてることが多いので%で検索->検索件数大量ヒットさせてDoSアタック仕掛けるという手口も考えられるので一応。
投稿2017/07/10 03:31
総合スコア276
0
そのように実行されないようにプレースホルダー(prepare)で処理を行うので
よほどのことがない限り問題ありません
投稿2017/07/09 05:26
総合スコア114769
0
このINSERTは実行されますか?
そのようには実行されません。
投稿2017/07/08 12:16
総合スコア84499
あなたの回答
tips
プレビュー
