SQLインジェクションとは何か？その正体とクラッキング対策。

$sql = "SELECT user, pass FROM users
WHERE user = '" + $user + "' AND pass = '" + $password + "'"

SELECT user, pass FROM users WHERE user = 'nippondanji' AND pass = 'fundoshi'

SELECT user, pass FROM users WHERE user = 'nippondanji'#' AND pass = 'hoge'

$sql = "SELECT user, first_name, last_name, prof FROM users
WHERE MATCH(first_name, last_name) AGAINST ('" + $search + "')"

SELECT user, password FROM users WHERE MATCH(first_name, last_name) AGAINST('Mikiya')

SELECT user, pass FROM users WHERE MATCH(first_name, last_name) AGAINST('') LIMIT 0 UNION SELECT user, first_name, last_name, 1 FROM users ORDER BY RAND() LIMIT 10 #')

mysql_real_escape_string

(PHP 4 >= 4.3.0, PHP 5)

とか

PDO::quote

(PHP 5 >= 5.1.0, PECL pdo >= 0.2.1)

とか使うべし

SJISで意図せずエスケープされてしまう恐れがある

詳細
　↓

＜内部コードがSJISで、magic_quotes_gpc=offの場合＞
データーベースにクエリ文を送る場合、変数に対しaddslashesでエンコードが必要だが、
―⊇そソЫ綾噂化浬棺欺興圭現構砂蚕悉十晶申製曾遜箪捗貼峠能判表塀暴冥予僚禄
の文字に関しては、Shift_JISの2バイト目にエスケープの対象となる文字なので、

$str="本能";
$str=addslashes("$str");
$str="本能\";

となってしまい、
$query="INSERT INTO  test1 (str) VALUES('本能\')";
$result = mysql_query($query);
となってしまって
1064: You have an error in your SQL syntax near ''能\')' at line 1
のエラーとなってしまう。


これを改善する為には、
(1) Shift_JISでソースを書かない
(2) 一時的にEUC-jpやUTF-8などのコードに変換する
(3) 自作のaddslashesを作成する
(3') addslashesしたあとに自作関数で取り除く
の方法があり、

(2)の場合（私は結果的にこちらを選びました。）

function addslashes_sjis($sjis) {
	$euc=mb_convert_encoding($sjis,EUC,SJIS);
	$euc=addslashes($euc);
	$sjis=mb_convert_encoding($euc,SJIS,EUC);
	return $sjis;
}

(3') の場合（佐川さんの作られた関数）
function addslashes_ext3($sjis) {
  /*
   * 機能: 区切り文字(\xff)を入れて、ASCIIのみをaddslashesする。
   * 警告: 区切り文字が$sjisに含まれていた場合の動作は保証外。
   * 注意: ereg_replaceは\x00をサポートしていないことがあるので、
   *       \xffを使う。preg_replaceは、\x00をサポートしている。
   */

  // 文字コードの範囲
  $sjis_high = "[\x81-\x9f\xe0-\xfc]";
  $sjis_low  = "[\x40-\x7e\x80-\xfc]";
  $ank       = "[\x01-\x7f\xa0-\xdf]";

  // とりあえず、addslashesしちゃう
  $escaped = addslashes($sjis);

  // 問題が発生する文字列があるか調べる
  if (ereg("($sjis_high\\\\)\\\\", $escaped)) {
    // 問題がありそう。一文字ずつに分解する。
    $raw_char =
    $esc_char = explode("\xff",
                        ereg_replace("(${sjis_high}${sjis_low}|$ank)",
                                     "\\1\xff", $sjis));
    // 一文字ずつしらべる
    for($i=0; $i<count($raw_char); $i++)
      if (strlen($raw_char[$i]) == 1)
        $esc_char[$i] = addslashes($raw_char[$i]); // ASCIIのときはaddslashes
    // くっつける
    $escaped = implode("", $esc_char);
  }
  return $escaped;
}

PHPの言語解析器では、理解できないエスケープ記号は、そのまま出力するので
$str=addslashes_sjis("東十条");
//$str="東十条";
$query="INSERT INTO test.test1 (str) VALUES('$str')";
でもかまわないが、


一方 他の言語(例えばPerl)の言語解析器では、
英数字の前についた\は、特殊な意味を持ち、
記号の前の \ はその文字をエスケープしている...と解釈され
$str="東十\条";
$query="INSERT INTO test.test1 (str) VALUES('$str')";
でないと正しくINSERTされない。

function sanitize( $arr )
{
    if ( is_array( $arr ) ) {
        return array_map( 'sanitize', $arr );
    }
    return str_replace( "\0", "", $arr );
}

$_GET    = sanitize( $_GET );
$_POST   = sanitize( $_POST );
$_COOKIE = sanitize( $_COOKIE );

改行コードを利用した HTTPヘッダインジェクションやMailヘッダインジェクション
というものがあった。

URLに改行コード （%0D%0A）を含ませることで、クッキーを操作することができるというもの。

$url = html

例： http://URL/%0D%0ASet-Cookie:SID=aaaaaa

利用者に上記のようなURLにアクセスさせることで、SIDがセッション情報とした場合、その利用者のセッション情報を書き換えることができてしまいます。
↓前やったセッションハイジャックが可能なサイトの場合、上記の攻撃が有効になります。
http://nuts-choco.net/?p=18

URLやメールのヘッダの場合は改行コードの除去が必要になるので注意です。

◆OpenPNEでは

ちなみにOpenPNEは以下のようなバリデート式です。

http://trac.openpne.jp/browser/OpenPNE/trunk/webapp/lib/OpenPNE/Validator.php

295 
// NULL バイト・制御文字(HT,LF,NBSP以外)をすべて削除

296 
$value = preg_replace("/[\x{0}-\x{08}\x{0b}-\x{1f}\x{7f}-\x{9f}\x{ad}]/u", ”, $value);

$value = preg_replace("/[\x{0}-\x{08}\x{0b}-\x{1f}\x{7f}-\x{9f}\x{ad}]/u", ”, $value);
⇒アスキー制御文字で検索

備考

バイナリセーフではない関数の一部

ereg(), ereg_replace(), eregi(), eregi_replace(),
split(), spliti(),
include(), include_once(), require(), require_once()
fopen(), file_get_contents(), readfile(), basename()

バイナリセーフでない関数の例として、引数のファイル名に NULL バイトが含まれていると NULL バイトまでの部分をファイル名として認識する関数や制御構造には、以下のものがあります(おそらく、これら以外にもあると思います)。

• fopen()

• readfile()

• file(), file_get_contents()

• include(), include_once()

• require(), require_once()

• basename()

以下の POSIX 互換の正規表現関数も NULL バイトが含まれている文字列を正しく処理できませんので、気をつける必要があります。

• ereg(), eregi()

• ereg_replace(), eregi_replace()

• split(), spliti()

また、途中でバイナリセーフに変更された関数や制御構造もあります。詳しくは、PHP 4 ChangeLog を binary safe というキーワードで検索してみると、他にもいくつか見つかります。これらの関数は、PHP のバージョンによって NULL バイトの扱いを気にする必要があるかもしれません。

• strip_tags()

  PHP 4.3.2 からバイナリセーフに変更されています。

• fgetcsv()

  PHP 4.3.5 からバイナリセーフに変更されています。

• file()

  PHP 4.3.0 から、指定されたファイルの内容に NULL バイトが含まれていても、正しい結果を返すようになりました。

• foreach, each()

  PHP 4.3.3 から、ハッシュのキーに NULL バイトが含まれていた場合でも正しく処理できるように変更されています。PHP 4.3.2 以前では、ハッシュのキーに NULL バイトが含まれていた場合、誤動作の原因となる可能性があります。また、ハッシュの値に扱いに関してはこの問題はありません。