JSON SQL Injection、PHPならJSONなしでもできるよ

DeNAの奥さんと、はるぷさんがJSON SQL Injectionについて公表されています。 The JSON SQL Injection Vulnerability 不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー) 上記の記事は、主にPerlスクリプトがJSONデータを受け取るシナリオで説明されています。もちろん、この組み合わせに限定したはなしではないわけで、それではPHPではどうだろうと思い調べてみました。 JSON SQL Injectionとは 以下、はるぷさんの「不正なJSONデータによる…」にしたがってJSON SQL Injectionについて説明します。 Perl向けのSQLジェネレータの一つであるSQL::Makerにおいて、以下のスクリプトを想定します。 my ($sql, @bind) = $builde

[tyage]

配列与えるsqliだとこれとかよく見ますよね http://php.net/manual/en/mongo.security.php

[ockeghem]

日記書いた

[k-holy]

これはライブラリのバグや脆弱性ではなく使い方の問題でしょう

[deep_one]

SQL文を自動生成するのは相当こわい…個人的には「SQLユーザーの権限をできる限り制限する」ところから対策を始める（笑）

[kazuhooku]

JSON以外にも、foo[bar]のような階層化されたnameに対応するクエリパーザだと脆弱になる可能性がある、という話。任意のSQL片を注入不可能でも、=をINに書き換えられるだけでアウトなケースもあるからなぁ

[t-murachi]

これ、SQL を動的生成する必要がないんであれば、where に渡すパラメータは実際の値じゃなくて仮の値にしておいて、生成した SQL (だけ、bind list は無視) を静的に使いまわすようにするのが正解なんじゃ…

[houyhnhm]

意外と根深い。

[rryu]

値直指定を略記とみなしてstrictに「array('name'=>array('eq'=>$user_name))」と記述していれば脆弱にはならなかったのではないだろうか。

[Fivestar]

JSONだろうがPOSTだろうがライブラリの実装を把握し適切にバリデーションすればよろしい

[secseek]

この件から得るべき教訓は、道具は設計を理解して正しく使おうってことですね。

[longroof]

ひとりでできるもん！みたいな(；´Д｀)

[mojimojikun]

('A`)

[asakura-t]

タイトルの意味が分からなかったけど、読んで納得／昔自前で作ったのは（たまたま）keyのチェックしてたっぽい。

[lucky_pool]

“ライブラリの特性・仕様を理解した上で、正しい使い方により、脆弱性の混入を防ぎましょう。”

[harupu]

JSONに限った話じゃないよという話。組み合わせは複数考えられるので、どこでどう影響があるかわかりにくいすね。

[oppara]

JSON SQL Injection、PHPならJSONなしでもできるよ | 徳丸浩の日記 B!

[Kenji_s]

JSONまったく関係なくてただのライブラリのバグのような気がします

[b-wind]

本家Perl版と同様に、strictモードが導入されました。