PHP および SQL インジェクション攻撃[3]

最近忙しいので連載は続けていきます（笑）半月以内に終わらせたいと思います。

上記では、データベースに付属する安全でない入力フィルタリング機能について説明しましたが、この機能はすべてのデータベースで利用できるわけではありません。現時点ではおそらく MySQL、SQLite、PostgreSQL、Sybase だけがそのような機能を持っていますが、Oracle や SQL Server を含む多くのデータベースにはありません。

この状況を考慮して、開発者は通常、一般的な方法を使用して、安全でないデータをデータベース Base64 エンコーディングで書き込むことを回避します。これにより、問題を引き起こす可能性のある特殊文字によって引き起こされるすべての危険が回避されます。ただし、Base64 エンコード後のデータ容量は約 33% 増加し、より多くのスペースを必要とします。 PostgreSQL では、Base64 でエンコードされたデータの使用には別の問題があります。つまり、「LIKE」クエリを使用できないということです。

要約すると、データベース自体の文字列マスキングだけに依存するだけでは不十分であることがわかります。危険な文字がクエリ ステートメントに影響を与える前に、それらを除外するソリューションが必要です。事前定義されたクエリ (準備されたクエリ/準備されたステートメント) は非常に優れた方法です。事前定義されたクエリとは何ですか?これは、クエリ ステートメントの構造と一部の部分のデータ型を定義するクエリ ステートメント テンプレートに相当します。送信した SQL ステートメントがこのテンプレートの定義を満たしている場合は実行され、そうでない場合は実行されず、エラーが報告されます。

例:

pg_query($conn, “PREPARE stmt_name (text) AS SELECT * FROM users WHERE name=$1”);
pg_query($conn, “EXECUTE stmt_name ( { $name})");
pg_query($conn, "DEALLOCATE stmt_name");

PREPARE stmt_name (text) AS .. クエリの形式を定義します。$1 を除くすべての文字は次のとおりです。すべてのプレースホルダーは変更できません。はは、この方法は本当に良い方法だと思います。残念ながら、すべてのデータベースがこれをサポートしているわけではありません。 。