PHPおよびMySQLでのSQLインジェクションに対する保護

注射から私たちを保証するルール

1. プレースホルダーを介してのみリクエストにデータを代入します
2. コードで規定されているホワイトリストの識別子とキーワードのみを置換します。

プレースホルダー-データ置換

SELECT * FROM table WHERE id > ? LIMIT ? 

• まず、「エスケープ」はセキュリティとはまったく関係ありません。 想像してみて！
• 第二に、コードが短くなります。 mysql_real_escape_string（）もintval（）もありません-すべての処理は内部に隠されています。
• 第三に、コードが簡単になっています。 リクエストの異なる部分をフォーマットするための異なるルールを覚える必要はありません
• 第4に、プレースホルダーを使用すると（プレースホルダーが正しく処理される場合）、データを介したインジェクションが保証されます。 「これは明らかです！」-あなたは言う-「別のポイントをフェンスすることは価値がありましたか？」 同じエスケープ保護は保証しません。 さらに、フォーマット規則を1つに減らす-ここで何かを混乱させるのは難しいだろう
• 5番目、そして最も重要なことは、データを必要な場所で正確に処理することです！ これは多くの人が理解していない非常に重要なポイントです。 古典的な「楽しい」教科書では、SQLのデータ形式はコード全体に散らばっています。 また、PHPの古いバージョンでは、コード実行の開始前でさえ開始されていました。これは、まったくゲートには入りません！ この状況では、必要に応じて、わずかな利点なしに、一部のデータが2回フォーマットされ、他のデータが半分だけ、さらには他のデータがまったくまたはまったくフォーマットされないという事実につながります。 同時に、SQL用にフォーマットされたデータがHTMLまたはCookieに突然表示されますが、これもユーザーや開発者に喜びを与えません。

使用例：

 $stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?"); $stmt->execute(array("%$_GET[name]%")); $data = $stmt->fetchAll(); 

 $ban = $db->getRow("SELECT 1 FROM ban WHERE ip = inet_aton(s:)", $ip); 

識別子とキーワード-ホワイトリスト

適用例：

 $order = isset($_GET['order']) ? $_GET['order'] : ''; //     $sort = isset($_GET['sort']) ? $_GET['sort'] : ''; $allowed = array("name", "price", "qty"); //  $key = array_search($sort,$allowed); //      $orderby = $allowed[$key]; //  (,     - ) . $order = ($order == 'DESC') ? 'DESC' : 'ASC'; //    $query = "SELECT * FROM `table` ORDER BY $orderby $order"; // 100%  

• まず、無効なフィールド名の場合、リクエストによりエラーが発生します。 そして間違いは常に悪い
• 第二に、はるかに重要です：予備フィルタリングなしでフィールド名を自動的に置換する場合、自動的にエスケープするだけで、異なる種類のインジェクションを取得できます-結局、ユーザーは変更しないはずのフィールド名を入力できます！ たとえば、$ _POST配列に基づいてSQLクエリを自動的に生成する場合（フィールド名を正しくフォーマットしている間に！）、ハッカーは、登録時に値「1」のadminフィールドをフォームに追加し、管理者になります

 $query = "SELECT * FROM `table` ORDER BY n: $order"; 

プレースホルダーを使用する

• 最初のケースでは、リクエストはプレースホルダーとともにサーバーに送信され、データはそれとは別に送信されます。 英語では、「ネイティブ」準備済みステートメント-「ネイティブ」準備済みステートメントと呼ばれます。つまり、プレースホルダーの処理は、サーバー上のDBMS自体によって実行されます。 簡潔にするために、ネームサーバーサーバーのプレースホルダーを使用します。
• 2番目の場合、データはフォーマットされ、クライアント上の直接のプレースホルダーの代わりにクエリ文字列に置換され、従来のSQLクエリを形成し、通常の方法でデータベースに送信されます。

 $dbh->setAttribute( PDO::ATTR_EMULATE_PREPARES, false ); 

サーバーのプレースホルダー

• 準備された式を使用したクエリの結果文字列を配列（mysql_fetch_array（）のアナログ）に入れるなどのありふれた機能は、バージョン5.3（！）でのみmysqliに追加されました。 このバージョンより前は、ライブラリは実際には不安定で、 地獄のような倒錯がありませんでした。
• 同じことがPDOでの接続のエンコーディングの設定にも適用されます-これは同じ5.3でのみ可能になりました。 以前のすべてのバージョンでは、PDOで接続のエンコードを指定することは単に不可能でした（公平性を考慮して、互換性モードがオフになっている場合、これは大きな問題ではありませんが-穴！）。
• mysqliは、フィールドがデータベースにできるだけ収まるように、できるだけ多くのメモリを予約しようとする場合があります。中程度のテキストには注意してください。

既存のライブラリの主な欠点をリストします。

• 冗長性
• いくつかの有用なプレースホルダーの欠如
• デバッグ目的で従来のSQLクエリを取得できない
• 考えられるパフォーマンスの問題*（この問題については以下で説明します）

冗長性。

 $data = array(); $query = "SELECT Name, Population, Continent FROM Country WHERE Continent=? ORDER BY Name LIMIT 1"; $stmt->prepare($query); $stmt->bind_param("s", $continent); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_array(MYSQLI_NUM)) { $data[] = $row; } 

 $query = "SELECT Name, Population, Continent FROM Country WHERE Continent=? ORDER BY Name LIMIT 1"; $data = $db->getAll($query,$continent); 

機能不全

 $conts = array('Europe','Africa','Asia','North America'); $query = "SELECT * FROM Country WHERE Continent IN(?) ORDER BY Name LIMIT 1"; $data = $db->getAll($query,$conts); 

SQLクエリを取得できない

性能

プレースホルダーの独立した実装

SQLクエリのさまざまな要素の書式設定の原則

 INSERT INTO `db`.`table` as `t1` VALUES('string',1,1.5,NOW()); 

• SQL言語要素自体-演算子、組み込み関数、変数など
• 識別子（データベース、テーブル、およびフィールドの名前）
• いくつかの異なるタイプのリテラル（クエリに直接代入されるデータ）。

識別子のフォーマット

• 識別子は、一重引用符（バッククォート）で囲む必要があります
• そのような引用符が名前に含まれる場合、二重にすることでエスケープする必要があります。

 function escapeIdent($value) { return "`".str_replace("`","``",$value)."`"; } 

フォーマット文字列リテラル

• 文字列は引用符で囲む必要があります（単一または二重ですが、識別子には二重を使用できるため、常に単一を使用することをお勧めします）
• 行のリストの特殊文字をエスケープする必要があります。このため、APIは特別な機能を提供します。この関数が正しく機能するには、接続エンコードが正しく設定されている必要があります。

• これらのルールは、1つだけでなく、常に一緒に適用する必要があります
• それらのいずれも行以外のデータには適用しないでください

  function escapeString($value) { return "'".mysqli_real_escape_string($this->connect,$value)."'"; } 

数値の書式設定

• mysqlのSTRICT MODEモード。有効にすると、文字列を数値として渡そうとしたときにエラーがスローされる場合があります。
• LIMIT演算子。文字列の使用はまったく提供されていません
• mysqlの専門家によると、リテラルのタイプは非常に重要であり、クエリの計画と実行に重要であるとコメントしています。私自身はこれが得意ではないので、詳細なコメントをいただければうれしいです。

レイジープレースホルダー

 function query(){ $query = array_shift($args); $query = str_replace("%s","'%s'",$query); foreach ($args as $key => $val) { $args[$key] = mysql_real_escape_string($val); } $query = vsprintf($query, $args); if (!$query) return FALSE; $res = mysql_query($query) or trigger_error("db: ".mysql_error()." in ".$query); return $res; } 

 function dbget() { /* usage: dbget($mode, $query, $param1, $param2,...); $mode - "dimension" of result: 0 - resource 1 - scalar 2 - row 3 - array of rows */ $args = func_get_args(); if (count($args) < 2) { trigger_error("dbget: too few arguments"); return false; } $mode = array_shift($args); $query = array_shift($args); $query = str_replace("%s","'%s'",$query); foreach ($args as $key => $val) { $args[$key] = mysql_real_escape_string($val); } $query = vsprintf($query, $args); if (!$query) return false; $res = mysql_query($query); if (!$res) { trigger_error("dbget: ".mysql_error()." in ".$query); return false; } if ($mode === 0) return $res; if ($mode === 1) { if ($row = mysql_fetch_row($res)) return $row[0]; else return NULL; } $a = array(); if ($mode === 2) { if ($row = mysql_fetch_assoc($res)) return $row; } if ($mode === 3) { while($row = mysql_fetch_assoc($res)) $a[]=$row; } return $a; } ?> 

 $name = dbget(1,"SELECT name FROM users WHERE id=%d",$_GET['id']); //      $user = dbget(2,"SELECT * FROM users WHERE id=%d",$_GET['id']); //     $sql = "SELECT * FROM news WHERE title LIKE %s LIMIT %d,%d"; $news = dbget(3,$sql,"%$_GET[search]%",$start,$per_page); //   

 [az]:[az]* 

 i: 

 s:name 

 function createIN($data) { if (!is_array($data)) { throw new E_DB_MySQL_parser("Value for a: type placeholder should be array."); } if (!$data) { throw new E_DB_MySQL_parser("Empty array for a: type placeholder."); } $query = $comma = ''; foreach ($data as $key => $value) { $query .= $comma.$this->escapeString($value); $comma = ","; } return $query; } 

 IN(NULL) 

 function createIN($data) { if (!is_array($data)) { throw new E_DB_MySQL_parser("Value for a: type placeholder should be array."); } if (!$data) { return 'NULL'; } $query = $comma = ''; foreach ($data as $key => $value) { $query .= $comma.$this->escapeString($value); $comma = ","; } return $query; } 

 if (is_array($array) and $array) { $sql .= $db->parse(" AND type IN(a:)",$array); } 

 $w = array(); $where = ''; if (!empty($_GET['type'])) $w[] = $db->parse("type = s:", $_GET['type']); if (!empty($_GET['rooms'])) $w[] = $db->parse("rooms IN (a:)",$_GET['rooms']); if (!empty($_GET['max_price'])) $w[] = $db->parse("price <= i:", $_GET['max_price']); if (count($w)) $where = "WHERE ".implode(' AND ',$w); $data = $db->getArr("SELECT * FROM table $where LIMIT i:,i:",$start,$per_page); 

迷信暴露セッション

Mysql_ *関数はPHPで長らく廃止されました

特効薬はありません

逃げる

• 「mysql_real_escape_string関数の問題は、まったく使用されないことです」-これはナンセンスです。mysql_real_escape_string（）関数の唯一の問題は、非常に多くの人々がそれが何のためにあるのか理解していないことです。
• 「受信データにはエスケープが必要です」-もちろん、そうではありません。文字列にはエスケープが必要です
• « „“ „“» — . «» . , , , , —
• « - » — , ? . , .
• « » — , , . , — . — , SQL . PDO, — , , . PDO . , , «» . PDO «», .

«»

ユニバーサルデータ保護機能

エンコーディング

 mysql> select version(); +---------------------+ | version() | +---------------------+ | 5.0.45-community-nt | +---------------------+ 1 row in set (0.00 sec) mysql> CREATE TABLE users ( -> username VARCHAR(32) CHARACTER SET GBK, -> password VARCHAR(32) CHARACTER SET GBK, -> PRIMARY KEY (username) -> ); Query OK, 0 rows affected (0.08 sec) mysql> insert into users SET username='ewrfg', password='wer44'; Query OK, 1 row affected (0.02 sec) mysql> insert into users SET username='ewrfg2', password='wer443'; Query OK, 1 row affected (0.03 sec) mysql> insert into users SET username='ewrfg4', password='wer4434'; Query OK, 1 row affected (0.00 sec) 

 <pre><?php echo "PHP version: ".PHP_VERSION."\n"; mysql_connect(); mysql_select_db("test"); mysql_query("SET NAMES GBK"); $_POST['username'] = chr(0xbf).chr(0x27).' OR username = username /*'; $_POST['password'] = 'guess'; $username = addslashes($_POST['username']); $password = addslashes($_POST['password']); $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; $result = mysql_query($sql) or trigger_error(mysql_error().$sql); var_dump($username); var_dump(mysql_num_rows($result)); var_dump(mysql_client_encoding()); $username = mysql_real_escape_string($_POST['username']); $password = mysql_real_escape_string($_POST['password']); $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; $result = mysql_query($sql) or trigger_error(mysql_error().$sql); var_dump($username); var_dump(mysql_num_rows($result)); var_dump(mysql_client_encoding()); mysql_set_charset("GBK"); $username = mysql_real_escape_string($_POST['username']); $password = mysql_real_escape_string($_POST['password']); $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; $result = mysql_query($sql) or trigger_error(mysql_error().$sql); var_dump($username); var_dump(mysql_num_rows($result)); var_dump(mysql_client_encoding()); 

 PHP version: 5.3.3 string(29) "ї\' OR username = username /*" int(3) string(6) "latin1" string(29) "ї\' OR username = username /*" int(3) string(6) "latin1" string(30) "\ї\' OR username = username /*" int(0) string(3) "gbk" 

「LIKEの脆弱性」

おわりに