PDOでの数値列の扱いにはワナがいっぱい — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something

PHP Advent Calendar 2013 in Adventarの15日目です。 みなさん、史上空前のSQLのエスケープブームの中、いかがお過ごしでしょうか？ なお、「我が社のプリペアドステートメントは大丈夫なのか？」という疑問をお持ちの方には、以下の記事をお薦めします。 漢(オトコ)のコンピュータ道: SQLインジェクション対策に正解はない さて、あまりにエスケープが人気なので、プリペアドステートメントにもう少しがんばってもらいたい気がしました。そこで、今日は、以下の徳丸さんの大変に力作な記事に関連した、PDOでのプリペアドステートメントについての記事を書いてみたいと思います。 PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた | 徳丸浩の日記 一応、今でこそPDOは普通に使われていますが、細かい点までみていくと、仕様なのかバグなのか、あるいはこ

[nemoba]

PDOのexecuteは暗黙の型変換前提。暗黙の型変換は予期せぬ動作を起こす。でも、それがセキュリティの問題に直結するという話じゃない。という部分を端折ると、無駄に混乱させる気がするよー

[billie175]

https://blog.tokumaru.org/2009/09/implicit-type-conversion-of-SQL-is-trap-full.html#p01

[takryou79]

php pdo “ array( ':user_id' => $user_id, ...)” → PDOStatement::executeをラップした関数の引数で渡すのと、PDOStatement::executeの引数で渡すのとでは結果が異なる。(後者では問題が発生しない(php5.4.7にて))

[k-holy]

以前pdo_mysqlのLIMIT,OFFSETでエラー出してこの仕様に気付いた件。事前にバリデーションしていればセキュリティ上は問題ないとは言え、意図しない動作を引き起こす恐れがあるので要注意（マニュアル読めという話ですが）

[hnw]

PDO+MySQLの組み合わせに関して言うと、現実味のあるトラブル事例を作るのは結構難しいと思います。53bit超の整数を扱うときは要注意ね、というJavaScript使いと同じ気持ちでいれば十分なのでは？

[wakuworks]

他の方も書いてるけど、バインドで型を明示すればおｋ

[escape_artist]

明示的にbindすればいいはず。。

[ftype]

bindValueで型を指定するというところまで指摘してあると初心者にはうれしい（こなみかん）

[ko-ya-ma]

> 数値を文字列として扱っているため、SQLでの暗黙の型変換が発生します

[luccafort]

まとめに解決策書いとく方が親切なんじゃね？とか思ったり。bindParamで型指定すればいいのでは？

[ockeghem]

この記事は素晴らしいですね>『さて、あまりにエスケープが人気なので、プリペアドステートメントにもう少しがんばってもらいたい気がしました。そこで…』