ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)

補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win

[kitokitoki]

pdo のコンストラクタの引数でcharasetを指定すべき理由

[UDONCHAN]

Shift_JISなんてつかうからそんなことに…

[taketyan]

専門家に喧嘩売ったら当該の問題について本人が既に言及していたでござる.

[akakit]

PHPのデータベース・アクセス・ライブラリ

[u1tnk]

重要そうだ。

[rti7743]

ガラケーが消えてくれれば、webはUTF-8元に幸せに統治できそうなんだけどなぁと思ってる。

[tsupo]

PDO+MySQLでは、動的プレースホルダ(なんちゃってプリペアード・ステートメント)が使われる / PDO+MySQL+Shift_JISでは、プレースホルダを使ってもSQLインジェクション脆弱性となる // 本を書いています → 期待

[koyhoge]

SJISをDBのエンコーディングに使うことは全くないなぁ。

[mumincacao]

安全な SQL の呼び出し方でまとめのとこにこっそり描いてあったけど MDB2 を選んだ理由のとこでも PDO について触れてあったほうがよかったのかなぁ？ やっぱり PDO 選びたくなっちゃうし…

[sett-4]

id:nihenさんが、PDOに対して文字エンコーディングを設定する方法を調べてくださいました。nihenさん、どうもありがとうございます。以下に引用します。

[raimon49]

こんなケースがあるのか。

[noplans]

追記あり

[nippondanji]

そもそもShift_JISは危険。早めに捨て去ったほうがいい。（けどガラケーがなあ。）

[escape_artist]

PDOが使えないと死んじゃうので、誰か回避策と検証頼みます

[fukken]

PDO::ATTR_EMULATE_PREPARESを指定すると本物のプリペアドステートメントが使える

[mooz]

PDO は DB 接続時の文字エンコーディング指定ができない. そのため, 場合によってはプレースホルダを使っていても SQL インジェクションへの脆弱性が発生する.

[hirose504]

PDOは、文字エンコーディングが指定できないため、MySQL+Shift_JISでは、プレースホルダを使ってもSQLインジェクション脆弱性となる・・・かも？/UTF-8で処理し、set names utf8により文字化けを回避する(回避策)

[Y-Bahn]

MDB2を使う場合、MySQLのMDB2 driverはstableの1.4.1ではなくbetaの1.5.0b2を使わないと同じ脆弱性が発生するのでご注意を。 http://d.hatena.ne.jp/Y-Bahn/20090219/1235030126

[nihen]

http://gist.github.com/459499 多分これでおｋ

[FTTH]

バックエンドにpostgresqlを使用しているとstandard_conforming_stringsの影響を受けるがこのデフォルトは8.2で変更されている問題と見た　／　ところで鯖側でsjis使う奴は即吊るしていいのでは

[kanehama]

ぱっとやって再現しなかったので胡散臭い。あとで調べる。

[se-mi]

えー

[paulownia]

プレースホルダを使っているのにSQLインジェクション？プリペアドステートメントのように見えて実は違うって極悪仕様だな…

[cubed-l]

とてもわかりやすい

[ockeghem]

↑id:kanehama 環境や設定によっては再現しない可能性があります。設定などを教えて頂けると助かります