バインド機構を使用してSQLインジェクション対策

kayama 978views 更新:2015年6月22日

検索機能などで入力されたキーワードを無害化するためにbindを使用することを学びました。
以前にも作業中にbindに遭遇したことがあったもののどのような目的で使用しているのかいまいち理解できていなかったため、今回はbind(バインド)について簡単にまとめたいと思います。

使用する目的


SQLインジェクション攻撃を回避するために使用します。

※SQLインジェクション攻撃とは
 キーワードに

' OR 'A'='A

などSQL的なものを入力し、パスワードを入力しなくても不正にログインできる状態にする行為等をいいます。インジェクション攻撃のパターンについてはこちらのサイトで詳しいまとめを読むことが出来ます。

対応

無害化したいキーワードを#bindで囲ってあげます。

SELECT 項目名 FROM テーブル名 WHERE 検索条件 AND #bind($キーワード);

参考
SQLインジェクションのまとめ

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません