データ参照したいけど、手軽に作ってしまいたい時はあります。しかしながらSQLインジェクション対策は必要。
Query Builderを使った場合はエスケープしてくれますが、DB::query()だけは注意する必要があります。
■SQL インジェクションとは
SQL インジェクションとは、Webアプリケーションのリクエストパラメーターに、「不正な SQL 文」を含めてリクエストを送信し、本来の処理とは異なる命令をデータベースに実行させることができる脆弱性のことです。
SQL インジェクションは、Webアプリケーションの脆弱性の中でも深刻なもので、発見されたら早急に対応が必要です。具体的な被害には以下のようなものがあります。
個人情報などの重要情報の漏洩
不正なログイン
データベースの改ざん
OSコマンドの実行
サーバーの乗っ取り
(引用:https://www.websec-room.com/2013/03/03/365)
恐ろしい、対策しなくてはいけません。。
その対策方法は、プレースホルダです。
■プレースホルダ利用前(NG例)
\DB::query(‘select * from hoge_table where id=’ . $id)->execute();
こういう書き方だとアウト。乗っ取りの可能性あります。
■プレースホルダ利用後(OK例)
$w_id = $id; // 割り当てたい変数をセット
$sql = “SELECT id, name FROM hoge_table WHERE id= :id“; // 実行したいクエリ
$result = DB::query($sql)->bind(‘id’, $w_id)->execute();
このように変数を外だしして、バインドさせることで安全になります。