SQL呼び出しに伴う脆弱性

対策

プレースホルダによるSQL文組み立てする

SELECT * FROM user where id = ?

値は、バインド(bind)する

PDOの安全な利用法

PDO(PHP Data Objects)のオプション指定

• 例外処理を使用する
  • PDO::ATTR_ERRMODE = PDO::ERRMODE_EXCEPTION
• 複文の実行禁止
  • PDO::MYSQL_ATTR_MULTI_STATEMENTS = false
  • 複数のSQLを;で区切って実行することを禁止する
• 静的プレースホルダの指定
  • PDO::ATTR_EMULATE_PREPARES = false
  • 動的プレースホルダ：アプリケーション側のライブラリでパラメータをバインドしてからデータベースエンジンに送る（処理系にバグがなければSQLインジェクションは発生しない）

保険的対策

• 詳細なエラーメッセージの抑止 phpの場合、displau_errors = Off
• 入力値の妥当性検証
• データベースの権限設定
  • 表示のみの場合は、書き込み権限をつけない
  • ファイル読み込み権限