プログラミング PHP

prepareステートメントの挙動について調べてみた

投稿日:2019年3月2日 更新日:

調べるきっかけ

PHPでSQLをセキュアに記述する方法としてprepareステートメントが推奨されているが、なぜなのかがわからず、挙動を調べれば自分なりに納得のいく答えがでるのではないかと思ったため。

調べたコード

$nameの文字列の途中に;(セミコロン)を付与して処理を終了させて、そのあとにDELETE文を実行させようとした。

「’名無しさん; Delete from boards.boards’」となり、
‘(シングルクウォート)で括られて、;(セミコロン)は無効化されていた。

;の手前で’を付与して、;を有効化しようとしてエスケープした場合。

「’名無しさん\\\’」となって、エスケープできませんでした。

結果

prepareステートメントを利用すると適切にエスケープされるため、SQLインジェクション対策となる。

-プログラミング, PHP
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

VBAが書けるまでにどのくらいかかったか?

これからVBAを学ぼうとしている人向けに参考情報として書きます。 目次 前提結論3か月くらいAPIのツール作成何で勉強したか?Office TANAKAエクセルの神髄書籍最後に 前提 前提として、私の …

no image

【PHP】まずこれは押さえよう!4つの基本

記事対象者:PHP初学者 記事の目的:PHPにおける、基本的かつ根底となる知識を学んでもらう。 ※初学者を対象としているため、ここではごく基本的なことのみを記載いたします(クラスの概念等はまだここでは …

pageEncodingとcontentTypeのcharsetの違い

pageEncodingとcontentTypeのcharsetは処理されるタイミングが異なります。 それによって文字化けの原因につながっているので、どのように設定すればいいかを解説していきます。 目 …

no image

How to apply JavaScript fixes (PHP)

※This article (Japanese) is translated from Google (English). After editing JavaScript, it is the ac …

【Spring】JSの変更を反映させる方法

Spring Bootのおいて、JavaScriptの変更を反映させる方法です。   目次 設定application.properties特定のフォルダに適用したい場合公式ドキュメント 設 …

SpringFramworkの良書

Javaの基本を学んだ人が、次のステップ(Frameworkでの実装)として読む本。

※SpringはJavaのFrameworkの1つです。
変更のしやすさ、保守性の高さが特徴です。