SQLインジェクション

攻撃例1

シングルクォート挿入で、WHERE句の条件式を強制的に常に真とする
・「'」と「or」を利用することにより、WHERE旬の条件式を、強制的に常にTRUEとする

ユーザーからのデータ入力例
・$input_userid … dummy
・$input_password … 'or'A'='A

SQLインジェクションされたSQL文
・WHERE句の中でANDとORを並べると、ANDの論理演算が優先するという決まりがある

SELECT * FROM user WHERE userid='dummy' AND password=''or'A'='A'

SQLインジェクションされたSQL文の意味
・パラメータに「'」を含ませることで、passwordに関するWHERE句の条件式を一旦終端させている
・具体的には、「userid='dummy'」かつ「password=''」または「'A'='A'」の条件が成り立つuserテーブル情報を表示するよう命令している
・「'A'='A'」は常に正しいので、この条件はどんなときにも成り立つ(WHERE句全体が常に真)
・つまり、userテーブルへ登録されている全情報を強制表示させることが可能

ポイント
・この攻撃方法の肝は、OR以降を常に真となるよう記述していることにある
・そのため、「'or'A'='A」部分は、「'or'1'='1」「'or''='」でも、攻撃は成立する

恒真式
・ちなみに、「'A' = 'A'」、「'1' = '1'」「'' = ''」のように、常に真となるような式を、恒真式と呼ぶ

攻撃例2

セミコロン挿入で、既存SQL文を強制的に分割する
・その後、任意のSQL文を実行されてしまう恐れがある
・例えば、DELETE文を実行されると、userテーブルレコードは全件削除されてしまうこともあり得る

ユーザーからのデータ入力例
・$input_userid … dummy
・$input_password … ';DELETE from user WHERE 'A'='A

SQLインジェクションされたSQL文
・2つのSQL文が続けて実行されることを意味する

SELECT * FROM user WHERE userid='dummy' AND password='';

DELETE from user WHERE 'A'='A'

SQLインジェクションされたSQL文の意味
・パラメータに「;」を含ませることで、SQL文を強制的に一旦終了させている
・この後に任意のSQL文を追加している
・つまり、2つ以上のSQL文を連続実行させることが可能
・1つ目のSELECT文は実行されるが無害
・2つ目のDELETE文で、全件削除を実行している

ポイント
・SQL文におけるセミコロン「;」は、ステートメントを分割するデリミタである
・この「;」を使って複数のSQL文を強制的に実行させることができる

対策

SQLインジェクションの最も確実で根本的な対策
・可能な限りプリペアドステートメントを利用

---

プリペアドステートメントとは？

・prepared statement

狭義
・先にSQLを確定しコンパイルしてしまうこと

広義
・「値と置き換えるためのプレースホルダを含んだSQL」を事前に準備して、SQL実行時値をプレースホルダに割り当てる機能

プリペアドステートメント使用メリット
・後から変数部分に値だけを配列に束ねて実行する（バインド機構）ため、危険な文字列の挿入等によって（原理的に）ＳＱＬ文の破壊が発生しない
・より安全
・SQL文を発行する際にプログラム側でエスケープを行う必要がなくなるため、エスケープ漏れによるSQLインジェクションの可能性を減らすことが可能

引用符
・プリペアドステートメントに渡すパラメータを、引用符で括る必要はない(ドライバが自動的に実施)

---

プレースホルダ

プレースホルダとは？
・SQLの中に予め変数が入る場所（プレース）を確保（ホールド）しておくこと
・パラメータ部分を示す記号「?」のこと
・「バインド変数」と呼ぶこともある

バインドする
・パラメータ部分を示す記号「?」へ実際の値を割り当てること

プレースホルダの種類
1.静的プレースホルダ　
2.動的プレースホルダ

1.静的プレースホルダ　
パラメータのバインド処理をデータベースエンジン側で実行する方式
・正統

2.動的プレースホルダ
・パラメータのバインド処理を、アプリケーション側のライブラリ内で実行する方式
・文字列を動的に組み立てるから脆弱性が入り込む

SQLインジェクションの脆弱性を有するコード例

<?php

$search_text = $_POST["search_text"];



$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = '{$search_text}' and private = 0";

mysql_query($sql);

?>

SQLインジェクション対策を施した（MySQL用のエスケープ関数を利用）コード例

<?php

$q_search_text = mysql_escape_string($_POST["search_text"]);



$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = '{$q_search_text}' and private = 0";

$result = mysql_query($sql);



?>

概要

・SQL文をREBMSが実行できる形に準備しておき、パラメータの部分だけを実行時に渡す方法
・処理速度を高めるための仕組みだが、SQLインジェクションを防ぐためにもよく使われる

---

PDO

// PDOの場合 - PHP 5.1から対応

$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = ? and private = 0";

$stmt = $pdo->prepare($sql);

$stmt->execute(array($_POST["search_text"]));

$result = $stmt->fetchAll();

---

mysqliエクステンション

$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = ? and private = 0";

$stmt = mysqli_prepare($link, $sql); // mysqli関数はPHP5以降で対応



mysqli_stmt_bind_param($stmt, "s", $_POST["search_text"]); 

$result = mysqli_stmt_execute($stmt);

---

PEAR::DB

// PEAR:Bの場合

$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = ? and private = 0";

$stmt = $db->prepare($sql);

$result = $db->execute($stmt, array($_POST["search_text"]));

---

PostgreSQL

// PostgreSQLの場合 - PHP5から対応

$sql = "SELECT name, age, address FROM kaiin_m WHERE search_text = $1 and private = 0";

$stmt = pg_prepare($link, "my_query", $sql);

$result = pg_execute($link, "my_query", array($_POST["search_text"]));