公開日:2013年3月4日
最終更新日:2015年3月27日
最終更新日:2015年3月27日
SQLインジェクション対策(PHP編)
PHP で SQL インジェクション対策を実際にどのように行うのか、簡単なログイン処理で具体的に見てみましょう。
ログイン処理の概要は以下の通りです。
動作環境は、PHP + PDO + MySQL と PHP + MDB2 + MySQL です。以前はMDB2 を推奨していましたが、今後の開発では、5.4系、5.5系は PDO を採用することを推奨します。5.3系は状況に合わせて適切な方を選択してください。
PDO, MDB2 についての詳しいことは、以下の記事を参照してください。
接続先のデータベース名は Test、テーブル名は LOGIN で、列名は ID, PASSWORD です。接続文字列で UTF-8 を指定していますが、PHP + MySQL では、これがセキュリティ上重要です(文字コードは全て UTF-8 で統一)。
PDO 版
・login.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> </head> <body> <h1>ログイン</h1> <form action="logincheck.php" method="post"> ID:<input type="text" name="id"><br> Password:<input type="password" name="password"><br> <input type="submit" value="ログイン"> <input type="reset" value="リセット"> </form> </body> </html> |
・logincheck.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
<?php session_start(); //パラメーター取得 $id = $_POST['id']; $password = $_POST['password']; $count = 0; try{ //文字エンコーディングを必ず指定する $dbh = new PDO("mysql:host=192.168.11.8;dbname=Test;charset=utf8", "user01", "pass"); // 静的プレースホルダを指定 $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $stmt = $dbh->prepare("SELECT COUNT(*) AS CNT from LOGIN WHERE ID = ? AND PASSWORD = ?;"); $stmt->setFetchMode(PDO::FETCH_ASSOC); $stmt->bindParam(1, $id, PDO::PARAM_STR); $stmt->bindParam(2, $password, PDO::PARAM_STR); $stmt->execute(); while ($row = $stmt->fetch()) { $count = $row["CNT"]; } $stmt = null; } catch(PDOException $e){ echo $e->getMessage(); } $_SESSION['id'] = $id; if ($count == 1) { //ログイン成功 header("HTTP/1.1 301 Moved Permanently"); header("Location: welcome.php"); } else { //ログイン失敗 header("HTTP/1.1 301 Moved Permanently"); header("Location: login.php"); } ?> |
・welcome.php
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php session_start(); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> </head> <body> <h1>ようこそ、<?php echo htmlspecialchars($_SESSION['id'], ENT_QUOTES, "UTF-8") ?>さん</h1> </body> </html> |
MDB2 版
・login.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> </head> <body> <h1>ログイン</h1> <form action="logincheck.php" method="post"> ID:<input type="text" name="id"><br> Password:<input type="password" name="password"><br> <input type="submit" value="ログイン"> <input type="reset" value="リセット"> </form> </body> </html> |
・logincheck.php
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 |
<?php require_once 'MDB2.php'; session_start(); //パラメーター取得 $id = $_POST['id']; $password = $_POST['password']; $count = 0; //DB接続 $db = MDB2::connect('mysql://user01:pass@localhost/Test?charset=utf8'); if (MDB2::isError($db)) { throw new exception("DB connection error."); } //プレースホルダで SQL 作成 $sql = "SELECT COUNT(*) AS CNT FROM LOGIN WHERE ID = ? AND PASSWORD = ?;"; //パラメーターの型を指定 $stmt = $db->prepare($sql, array('text','text')); //パラメーターを渡して SQL 実行 $rs = $stmt->execute(array($id, $password)); while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) { $count = $row['cnt']; } $db->disconnect(); $_SESSION['id'] = $id; if ($count == 1) { //ログイン成功 header("HTTP/1.1 301 Moved Permanently"); header("Location: welcome.php"); } else { //ログイン失敗 header("HTTP/1.1 301 Moved Permanently"); header("Location: login.php"); } ?> |
・welcome.php
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php session_start(); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> </head> <body> <h1>ようこそ、<?php echo htmlspecialchars($_SESSION['id'], ENT_QUOTES, "UTF-8") ?>さん</h1> </body> </html> |
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す