SQLインジェクションの本質……安心するためにはどうすれば良い？ ' OR 1 = 1; -- #phpcon2015 #phpcon2015_2

こさ @cosax

徳丸先生が「徳丸先生に怒られない、動的SQLの安全な組み立て方」の実況しているの面白すぎるので一つくらい徳丸先生が激怒しそうなネタを埋め込んでおいてほしい……

luccafort @luccafort

SQLテンプレートと同じようなことをかつてやろうとして挫折した覚えがあるなぁ。 #phpcon2015_2

debiru @debiru

SQL インジェクションを起こすのは、そもそも SQL を文字列で書くからだ論 #phpcon2015 pic.twitter.com/Vk5S59mW1S

拡大

コーラ愛飲者S @Cokeesque_DF

Q.なぜSQLインジェクションが発生するのか？ A.文字列連結でSQLを組み立ててるから Q.なぜ文字列連結でSQLを組み立てるのか？ A.SQLを文字列で指定できてしまうから #phpcon2015

てきめん @youkidearitai

escapeメソッドか。 #phpcon2015

debiru @debiru

SQL テンプレートに直接 PHP を埋め込もうとしても、PHP 処理命令開始区切り子 <?php の文字がエスケープされるので埋め込めない #phpcon2015

てきめん @youkidearitai

NULLを許可するかしないかの設計は大切だなと #phpcon2015

luccafort @luccafort

まだまだ課題もあるけど今後発展していってほしい内容ではある、SQLテンプレート #phpcon2015_2

てきめん @youkidearitai

IN演算子がやっかいだからなぁ… #phpcon2015

Alice CENSORED @pjxiao

クエリビルダでいいぢゃん…… #phpcon2015

ばびぶべぼん @bbbbbo_n

SQL構文木のお話 #phpcon2015

Alice CENSORED @pjxiao

構文木だ #phpcon2015

yohei kojima @youhe__

対策②　sql構文木 #phpcon2015

Alice CENSORED @pjxiao

あれなんだっけ SQLAlchemy ？ #phpcon2015

kaneko.y @spikeolaf

SQL構文木という不穏な単語は、なんのやつだろう #phpcon2015

コーラ愛飲者S @Cokeesque_DF

SQLテンプレートならSQLインジェクションが発生しない！ #phpcon2015

おしょうゆ @osyoyu

SQL構文木、ミミハツだけど良さそう #phpcon2015 #phpcon2015_2

Alice CENSORED @pjxiao

要するに SQL テンプレートかクエリビルダ使えって話だ #phpcon2015

Alice CENSORED @pjxiao

構文木のまま送れるんですか？ #phpcon2015

Alice CENSORED @pjxiao

CPU リソースケチって文字列結合しないでクエリビルダ使え #phpcon2015

ばびぶべぼん @bbbbbo_n

構文木のままDBMSに送信したいとな #phpcon2015

てきめん @youkidearitai

構文木では遅いが、それでもCPUのパワーをセキュリティに使ってほしい #phpcon2015

Alice CENSORED @pjxiao

生の SQL 書くな #phpcon2015

てきめん @youkidearitai

でも、考えてみたらRDBMSは構文木を作ってるんだよね…？それだったらそれをPHPで作って送信しても良いんじゃないかというのは思うなぁ #phpcon2015

ニノミヤカズノリ @_2_no

徳丸浩のWebセキュリティ教室という本が出るそうな。これは買わないと #phpcon2015