PDOにおけるSQLインジェクションの危険性とその回避についてまとめ - Togetter
Twitterのつぶやきマッシュアップメディア!PDOにおけるSQLインジェクションの危険性とその回避についてまとめ
PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生しうるという徳丸氏のブログ内容に対し、識者がその回避方法について試し、報告しています。
by yousukezan
まとめ
メニューを開く-
日記書いた『ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) 』 http://www.tokumaru.org/d/20100701.html#p01 -
PDO::MYSQL_ATTR_DIRECT_QUERY を false RT: @ockeghem: 日記書いた『ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) 』 http://bit.ly/aAKdEL -
PDO、小泉守義さんのブログによると、昔は名前つきプレイスホルダ使用時にエミュレーションしてたけど、今は、PDO::ATTR_EMULATE_PREPARESをfalseにすると、名前つきプレイスホルダでも、プリペアード・ステートメントになるようですね
-
@ockeghem 試してないですけれど、http://bit.ly/awE8ZR を読む限りではDBD::mysqlと同じようにREAD_DEFAULT_FILEを指定することによってcharset指定できるんじゃないすかね -
.@haruyama PDOがmysql_real_escape_string()を呼んでいるかどうかが問題になると思います。少し古いですが、https://www.codeblog.org/blog/moriyoshi/20061221.html
-
@ockeghem どんな問題について話しているのか追えてないので的はずれなことをいってそうですが、mysql_real_escape_string() は、PDO の MySQL ドライバが入った当初から使われていました。 -
@moriyoshit ほう、それでもPDOは文字エンコーディングを考慮していなかったのでしょうか?
-
-
@ockeghem 文字エンコーディングが考慮されないのは、MySQL の実装が古いなどの理由で、プリペアードステートメントが PDO 側でエミュレーションされる場合です。
-
@ockeghem その場合、SQL が一旦 PDO でパースされ、プレースホルダが抽出されるのですが、このパーサが文字エンコーディングを考慮していません。
-
.@moriyoshit なるほど。すると、パーサが通った後のエスケープでは、文字エンコーディングを考慮しているということでしょうか?
-
@ockeghem PHP 5.3.0 とリンクしている libmysqlclient のバージョンが古い可能性があります。 niMySQL は positional な placeholder をサポートしているので、この部分がなんちゃって、になることはありません。
-
Content from Twitter
コメント