SQLインジェクション
フジボウルの寺山です。 今回は、MySQLに携わっておきながらまだまだ理解が乏しいな感じだSQLインジェクションについて。 安全なSQLの呼び出し方の自分用にメモしたものです。 https://www.ipa.go.jp/files/000017320.pdf ぜひ一読してみて下さい。 〇概要 SQLインジェクションの脆弱性がある場合、悪意あるリクエストにより、データベースの不正利用を招きます。 そのため、対策を必須なのでその前にまず、リテラルについて話ます。 〇リテラルとは 例えば、以下のSQLがあります。 SELECT a FROM atable WHERE name = "terayama" SQL構成する要素には、キーワード、演算子、識別子、リテラルなどがある。 キーワード: SELECT FROM WHERE 演算子など: = <= 識別子: a atable リテラル: "terayama" リテラルとは、例えば社員番号で検索する際に以下のようなSQLで実施しますが、 SELECT a FROM atable WHERE id = '123' ここでの'123'のような定数をリテラルと呼び、文字列としてのリテラルを文字列リテラルと呼び。他にも日時リテラルとかあります。 〇SQLインジェクションの原因 SQLをアプリケーションから利用する場合、SQLのリテラル部分をパラメータ化する事が多いですら、このパラメータ化された部分を展開する場合、文法的に正しく文を生成しないとリテラルの外にはみ出した状態になり、リテラルの後ろに続く文として解釈されます。これがSQLインジェクションです。 例えば以下の一文があります。$id部分は変数で外部から与えられるものとします。 $q = "SELECT a FROM atable WHERE id = '$id'" ここで$idに与えられるものが数字だけなら問題ないですが、例えば以下のようになる場合があります。 SELECT a FROM atable WHERE id = '';DELETE FROM atable--' $idに';DELETE FROM atable--が与えられた場合です。この場合、データベースの内容が全て消されてしまいます。 --以降のものはコメントとして無視されます。これがSQLインジェクションの脆弱性です。 〇対策 パラメータを正しくリテラルとして展開することが必要です。 ・文字列リテラルは、エスケープすべき文字をエスケープする。 ・数値リテラルは、数値以外の文字を混入しないこと。 今回はここまで次回対策の続きといえるプレスホルダーについてまとめます。

--------------------------------------------------
社員を募集しております!

リクナビNEXT
《前職給与保障★年休128日★基本残業なし》プログラマ・SE
【正社員登用前提!】Webエンジニア*ITサポート★残業少

FINDJOB!
【正社員】エンジニア募集 ワークライフバランス 初学者 学びなおし【PHP,Java,Swift】

社員のゲーム実況チャンネル
$fugaのゲーム実況
この記事を書いた人
投稿者画像
寺山 拓未
2014年入社 現在セキュリティ関連の支援ツール開発業務に従事 ロボットアニメ全般が好き
関連する記事