Q&A
ありがとうございます!わかりやすかったです!
バインド機構(下記記事)について質問があります。
sqlのテンプレートを作成してから実際の値を割り当てることでなぜ対策になるのでしょうか?
値を直接、sql文に組み込むのとの違いがわかりません。
例などありましたら上げてくれると助かります。
よろしくお願いします。
バインド機構とは、変数部分に変動個所(プレースホルダ)と呼ばれる特殊文字「?など」を使用してSQLのテンプレートを予め作成しておき、変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能です。
実行想定されるSQLコマンドを洗い出しておくことで、不正実行を防止します。
回答3件
0
ベストアンサー
普通に文字列としてSQLを組み立ててしまうと、(もちろん正しくエスケープすれば動作させることはできるのですが)エスケープ漏れなどが発生した場合に、入力した値がSQL構文の一部として認識されてしまって、意図しないSQLを実行することが可能となる危険があります。
これに対して、プレースホルダにバインドした場合、バインドするものは値としてしか認識されないので、構文が書き換わることはありません。
投稿2017/08/09 12:12
総合スコア145184
0
【PHP】PDOの静的プレースホルダと動的プレースホルダの違いを確認する
タイトルも内容も質問から少し外れるのですが、MySQL のログをキャプチャしてくれているので分かりやすいと思います。
投稿2017/08/09 12:54
退会済みユーザー
総合スコア0
より一般化された資料として、有名な資料に「安全なSQLの呼び出し方」があります。
https://www.ipa.go.jp/files/000017320.pdf
こちらは、内容が一般化されているせいで、表現が冗長になっている箇所がありますが、学習が進んだ後に読むと、非常に重要な記事であることがわかります。
学習の区切りで何度か読んでみると効果的だと思います。
0
バインド機構とは、変数部分に変動個所(プレースホルダ)と呼ばれる特殊文字「?など」を使用してSQLのテンプレートを予め作成しておき、変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能です。
実行想定されるSQLコマンドを洗い出しておくことで、不正実行を防止します。
引用されている記事のうち"不正実行"と言われているのはSQLインジェクションのことです。
リンク先に例があるので、確認してみて下さい。
例にはありませんが、";"と組み合わせると、そこでコマンドは終了するので、コマンドを追加しデータの破壊なども行われる可能性もあります。
(";drop table XXXXテーブル;"など)
その他のバインド機構のメリットとしては、sql文のprepare(事前コンパイル)ができることかと。
投稿2017/08/09 12:51
編集2017/08/09 13:31
総合スコア25195
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/08/09 12:38
2017/08/09 12:46
2017/08/09 23:23