回答率: 85.30%

質問するログイン新規登録

トップ Bottleに関する質問 SQLインジェクション対策をするためには？

編集履歴

回答編集履歴

3

修正

2017/06/20 11:45

投稿

スコア117871

answer CHANGED Viewed

@@ -1,4 +1,3 @@
-mysqlをご利用ならPDOでプレースホルダとしてprepareで処理します
+mysqlをご利用なプレースホルダとしてprepareで処理します
 どうしても気になるなら受け取ったパスをサニタイズする手もありますが
 処理的にはあまり意味がありません。
-なおprepareのエミュレーションはしないほうがいいとされています。

2

ソース削除

2017/06/20 11:45

投稿

スコア117871

answer CHANGED Viewed

@@ -2,25 +2,3 @@
 どうしても気になるなら受け取ったパスをサニタイズする手もありますが
 処理的にはあまり意味がありません。
 なおprepareのエミュレーションはしないほうがいいとされています。
-```PHP
-$userStr=filter_input(INPUT_POST,'user');
-$passStr=filter_input(INPUT_POST,'pass');
-try{
-  $dsn = 'mysql:host=localhost; dbname=test;charset=utf8;';
-  $pdo = new PDO($dsn, $user,$password);
-  $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
-  $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
-  $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
-  $sql="SELECT * FROM tbl WHERE user=? AND password=? LIMIT 1";
-  $stmt = $pdo->prepare($sql);
-  $stmt->execute([$userStr,$passStr]);
-  $row=$stmt->fetch();
-  print_r($row);
-}catch(PDOException $e){
-  die($e->getMessage());
-}
-```
-mysqliにもprepare処理がありますが、やや煩雑なソースになります

1

調整

2017/06/20 11:45

投稿

スコア117871

answer CHANGED Viewed

@@ -4,7 +4,8 @@
 なおprepareのエミュレーションはしないほうがいいとされています。
 ```PHP
+$userStr=filter_input(INPUT_POST,'user');
-$pass=filter_input(INPUT_POST,'pass');
+$passStr=filter_input(INPUT_POST,'pass');
 try{
   $dsn = 'mysql:host=localhost; dbname=test;charset=utf8;';
@@ -12,9 +13,9 @@
   $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
   $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
-  $sql="SELECT * FROM tbl password=? limit 1";
+  $sql="SELECT * FROM tbl WHERE user=? AND password=? LIMIT 1";
   $stmt = $pdo->prepare($sql);
-  $stmt->execute([$pass]);
+  $stmt->execute([$userStr,$passStr]);
   $row=$stmt->fetch();
   print_r($row);
 }catch(PDOException $e){