Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@conkon326

プレースホルダって?

Posted at

プレースホルダって?

プレースホルダは、プログラミングやデータベースにおいて、ある値や情報を後で入力するために一時的に置いておくための記号や変数のことを指します。

一般的には、データベースクエリーにおいて、SQLインジェクション攻撃を防ぐために使用されます。プレースホルダを使用すると、SQLクエリーを実行する前に、変数の値を確実にエスケープ処理することができます。これにより、攻撃者がクエリーに悪意のあるコードを挿入することができなくなります。

また、プログラミングにおいても、プレースホルダを使用することがあります。たとえば、Pythonの場合、文字列フォーマットにおいて、{}をプレースホルダとして使用し、後で変数の値を代入することができます。

また、Webアプリケーション開発において、フォームの入力値を取得する際にも、プレースホルダを使用することができます。たとえば、HTMLのformタグ内において、input要素のname属性にプレースホルダを指定することで、後で入力された値を簡単に取得することができます。

プレースホルダを使用することで、値の入力忘れや誤りを防ぐことができます。また、コードの可読性を高め、保守性を向上させることができます。ただし、適切な方法でプレースホルダを使用しないと、脆弱性を生み出すこともあるので、注意が必要です。

特に、SQLインジェクション攻撃を防ぐために、プレースホルダを使用する際には、以下のようなポイントに注意する必要があります。

  1. 使用するデータベースに応じたプレースホルダの形式を使用する。
  2. プレースホルダに入力されるデータの型に合わせた変換を行う。
  3. プレースホルダに入力されるデータに対して、適切なバリデーションを行う。
  4. プレースホルダを使用するだけでなく、データベース接続時に適切な権限設定を行う。
    これらの対策を実施することで、SQLインジェクション攻撃を防ぐことができます。

SQLインジェクション攻撃を防ぐためにプレースホルダを使用する例を示します。

例えば、以下のようなSQLクエリーを実行する場合を考えてみます。

SELECT * FROM users WHERE username='John' AND password='password';

このクエリーにおいて、usernameとpasswordはユーザーが入力する値となります。しかし、このままでは入力値によっては、SQLインジェクション攻撃を受ける可能性があります。

そこで、プレースホルダを使用して、入力値をエスケープ処理することで、SQLインジェクション攻撃を防ぎます。以下は、プレースホルダを使用したSQLクエリーの例です。

SELECT * FROM users WHERE username=? AND password=?;

このクエリーにおいて、?がプレースホルダとなります。実行時には、?に対応する値を別途指定することで、クエリーを実行します。この際、値はエスケープ処理が適用され、SQLインジェクション攻撃を防ぐことができます。

プログラミング言語によってプレースホルダの形式や使用方法は異なるため、具体的な例については、言語ごとに異なります。例えば、Pythonでのプレースホルダの使用方法は以下のようになります。

import mysql.connector

mydb = mysql.connector.connect(
  host="localhost",
  user="yourusername",
  password="yourpassword",
  database="mydatabase"
)

mycursor = mydb.cursor()

sql = "SELECT * FROM customers WHERE address = %s"
adr = ("Yellow Garden 2", )

mycursor.execute(sql, adr)

myresult = mycursor.fetchall()

for x in myresult:
  print(x)

上記の例では、%sがプレースホルダとなります。実行時には、プレースホルダに対応する値をタプルで指定することで、クエリーを実行します。

また、JavaScriptでのプレースホルダの使用方法は、以下のようになります。

const sql = "SELECT * FROM customers WHERE name = ?";
const name = "John";

connection.query(sql, [name], (err, result) => {
  if (err) throw err;
  console.log(result);
});

上記の例では、?がプレースホルダとなります。実行時には、プレースホルダに対応する値を配列で指定することで、クエリーを実行します。

これらの例では、プレースホルダを使用することで、入力値のエスケープ処理や、SQLインジェクション攻撃を防ぐことができます。ただし、注意点として、プレースホルダを使用しても、適切なバリデーションや権限設定を行わなければ、完全にセキュリティを保障することはできません。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?