Dantivのブログ -13ページ目
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

Dantivのブログ

ブログの説明を入力します。

<< 前ページ次ページ >>

SQL文中で用いる文字列の特殊文字をエスケープ mysql_real_escape_string

説明

string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier = NULL ] )

現在の接続の文字セットで unescaped_string の特殊文字をエスケープし、 mysql_query() で安全に利用できる形式に変換します。バイナリデータを挿入しようとしている場合、
必ずこの関数を利用しなければなりません。

mysql_real_escape_string() は、MySQL のライブラリ関数
mysql_real_escape_string をコールしています。
これは以下の文字について先頭にバックスラッシュを付加します。
\x00, \n,
\r, \, ',
" そして \x1a.

データの安全性を確保するため、MySQL へクエリを送信する場合には
(わずかな例外を除いて)常にこの関数を用いなければなりません。


警告

セキュリティ: デフォルトの文字セット

サーバーレベルで設定するなり API 関数
mysql_set_charset() を使うなりして、
文字セットを明示しておく必要があります。この文字セットが
mysql_real_escape_string() に影響を及ぼします。詳細は
文字セットの概念 を参照ください。

パラメータ

unescaped_string

エスケープされる文字列。

link_identifier

MySQL 接続。
指定されない場合、 mysql_connect() により直近にオープンされたリンクが
指定されたと仮定されます。そのようなリンクがない場合、引数を指定せずに
mysql_connect() がコールした時と同様にリンクを確立します。
リンクが見付からない、または、確立できない場合、
E_WARNING レベルのエラーが生成されます。

返り値

成功した場合にエスケープ後の文字列、失敗した場合に FALSE を返します。

例1 単純な mysql_real_escape_string() の例

<?php
// 接続
$link mysql_connect('mysql_host''mysql_user''mysql_password')
    OR die(mysql_error());

// クエリ
$query sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>

例2 SQL インジェクション攻撃の例

<?php
// $_POST['password'] をチェックしなければ、このような例でユーザーに望みどおりの情報を取得されてしまう
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

// データベース上のユーザーに一致するかどうかを調べる
$query "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);

// MySQL に送信されたクエリは、
echo $query;
?>

MySQL に送信されたクエリは次のとおり:

SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''

これでは、パスワードを知らなくても誰でもログインできてしまいます。

注意

注意:

mysql_real_escape_string() を利用する前に、MySQL
接続が確立されている必要があります。もし存在しなければ、
E_WARNING レベルのエラーが生成され、FALSE が返されます。link_identifier が指定されなかった場合は、
直近の MySQL 接続が用いられます。

注意:

magic_quotes_gpc が有効な場合は、
まず最初に stripslashes() を適用します。そうしないと、
すでにエスケープされているデータに対してさらにエスケープ処理を
してしまうことになります。

注意:

この関数を用いてデータをエスケープしなければ、クエリは
SQL インジェクション攻撃 に対しての脆弱性を持ったものになります。

注意:
mysql_real_escape_string()
%_ をエスケープしません。
MySQL では、これらの文字を LIKE, GRANT,
または REVOKE とともに用いることで、
ワイルドカードを表現します。




PHPによるWebアプリケーションスーパーサンプル 第2版/ソフトバンククリエイティブ

Amazon.co.jp

<< 前ページ次ページ >>