Security

PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか?

投稿日:2015年4月25日 更新日:

今のところの結論

  • データベースにも依るだろうが、そもそもプリペアドステートメントが使えないSQL文法がある。なので、「PDOドライバ毎に静的プレースホルダ/動的プレースホルダのどちらを使っているか」というのは問題設定に無理があるようだ。「どのPDOドライバも、どちらのプレースホルダも使っている」と思っておくのが妥当なのかもしれない。もしそうであるなら、「セキュリティ的に静的プレースホルダより信頼性の劣る動的プレースホルダを完全に避けるのは難しい」ということになりそうだ。

以下は、上記の結論を書く前に少し調査した内容だが記録のために残しておく。

MySQL (PDO_MYSQL)の場合

PDO_MYSQL は、MySQL 4.1 以降に存在するプリペアドステートメントを ネイティブにサポートしているという利点があります。 古いバージョンの mysql クライアントライブラリを使用している場合は、 PDO がこの機能をエミュレートします。

引用元:PHP: MySQL (PDO) – Manual

  • 上記では、プリペアドステートメントが使えない SQL文法については触れられていない。PDO内でエミュレートしている?

その他のデータベース用ドライバ

  • 各データベース用ドライバが、データベースに実装されているプリペアドステートメント機能を利用しているのかどうかは、php.net に載っていない?見付からなかった。

参考

  • PHP: PDO ドライバ – Manual
  • MySQL :: MySQL 5.7 Reference Manual :: 13.5 SQL Syntax for Prepared Statements
    • https://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html
    • “SQL Syntax Allowed in Prepared Statements” という項目がある。
  • 漢(オトコ)のコンピュータ道: SQLインジェクション対策に正解はない

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

クリックジャッキング(Clickjacking)対策

対策 方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。 方法2:HTTP レスポンスヘッダに、X-Frame-Options …

no image

ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか? そこも気にな …

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグ サイバー攻撃ってなに?第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~ …

no image

HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「HTTP ヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブ …

Web Security

CSP (Contents Security Policy) の記述例その2

CSP (Contents Security Policy) の記述例その2です。