SQLインジェクション その2
フジボウルの寺山です。 最近急に寒くなりましたね! 毎年電気で暖かなる毛布には助けられております 以前に引き続きSQLインジェクションの対策についてです。 ○プレスホルダーによるSQL組み立て パラメータ部分を「?」などの記号で示しておき、後にそこへ実際の値を機械的な処理で割り当てる方法です。 機械的な処理については後述いたしますが、例えば以下のようなSQLになります。 SELECT * FROM customer WHERE id = ? ここで、パラメータ部分を示す記号のことをプレースホルダと呼び、そこへ実際の値を割り当てることを「バインドする」と呼びます。そのため、プレースホルダのことを「バインド変数」と呼ぶこともあります。 ○prepared statement ?などがついたプレースホルダのままSQL文をデータベースエンジン側にあらかじめ送信し、実行前にSQL文の構造解析などの準備をしておく方式です。 SQL実行の段階で、実際のパラメータの値をデータベース側に送信しデータベースエンジン側がバインド処理します。 静的プレースホルダでは、DB側で?の部分がすでにリテラルとして認識されるため、バインドする時の値がリテラルからはみ出さないためエスケープ処理が必要ありません。リテラルからはみ出さないということはSQL文として解釈されないということになります。 また、構文解析などを事前にしておくことで実行効率を高くするメリットもあります。 SQLインジェクション対策は以上となります。 私もまだまだ知識不足ですが、対策となぜ必要なのかを理解し、安全なWEBサイトを設計致しましょう!

--------------------------------------------------
社員を募集しております!

リクナビNEXT
《前職給与保障★年休128日★基本残業なし》プログラマ・SE

社員のゲーム実況チャンネル
$fugaのゲーム実況
この記事を書いた人
投稿者画像
寺山 拓未
2014年入社 現在セキュリティ関連の支援ツール開発業務に従事 ロボットアニメ全般が好き
関連する記事