SQLインジェクション対策の要諦: SQLiteにおける %Q と %s の賢い選択
2024-05-21
SQLite: sqlite3_mprintf における %Q と %s の使い分け
SQLite の sqlite3_mprintf 関数では、文字列を安全にフォーマットするために、%Q と %s の2つのフォーマット指定子を使用できます。それぞれの指定子は異なる用途に適しており、適切な使い分けが重要となります。
%Q の詳細
- 文字列をシングルクォートで囲み、エスケープ処理を自動的に行います。
- 以下の文字をエスケープします:
'(シングルクォート)\(バックスラッシュ)
- 安全なSQLクエリを生成する際に役立ちます。
- 例:
char *sql; sqlite3_mprintf(&sql, "SELECT * FROM table WHERE name = %Q", "John Doe");SELECT * FROM table WHERE name = 'John Doe';
- 単純な文字列フォーマットを行います。
- エスケープ処理は行われません。
- フォーマットされた文字列に特殊文字が含まれている場合、SQLインジェクションなどの脆弱性を招く可能性があります。
- 安全性が確保できない場合は使用を避けるべきです。
- 安全性を重視する場合は、
%Qを使用するのが原則です。 - 特殊文字が含まれていないことが確実な場合のみ、
%sを使用します。 - 常に
%Qを使用する方が、セキュリティリスクを低減できます。
補足
sqlite3_mprintf関数以外にも、sqlite3_vmprintf関数やsqlite3_snprintf関数など、安全な文字列フォーマット機能が提供されています。
例
以下のコード例は、%Q と %s の使い分けを分かりやすく説明しています。
#include <stdio.h>
#include <sqlite3.h>
int main() {
char *sql1, *sql2;
// 安全なSQLクエリを生成
sqlite3_mprintf(&sql1, "SELECT * FROM table WHERE name = %Q", "John' Doe");
printf("Safe query: %s\n", sql1);
sqlite3_free(sql1);
// 潜在的な脆弱性を招くSQLクエリを生成
sqlite3_mprintf(&sql2, "SELECT * FROM table WHERE name = %s", "John' Doe");
printf("Unsafe query: %s\n", sql2);
sqlite3_free(sql2);
return 0;
}
出力
Safe query: SELECT * FROM table WHERE name = 'John'' Doe';
Unsafe query: SELECT * FROM table WHERE name = John' Doe;
サンプルコード: SQLite における %Q と %s の使い分け
このサンプルコードは、SQLite の sqlite3_mprintf 関数における %Q と %s のフォーマット指定子の使い分けを分かりやすく説明します。
コード
#include <stdio.h>
#include <sqlite3.h>
int main() {
char *sql1, *sql2;
// 安全なSQLクエリ (シングルクォートを含む名前を処理)
sqlite3_mprintf(&sql1, "SELECT * FROM table WHERE name = %Q", "O'Brien");
printf("Safe query: %s\n", sql1);
sqlite3_free(sql1);
// 潜在的な脆弱性を招くSQLクエリ (シングルクォートを含む名前を処理)
sqlite3_mprintf(&sql2, "SELECT * FROM table WHERE name = %s", "O'Brien");
printf("Unsafe query: %s\n", sql2);
sqlite3_free(sql2);
// 安全なSQLクエリ (アンパサンドを含む名前を処理)
sqlite3_mprintf(&sql1, "SELECT * FROM table WHERE name = %Q", "John & Doe");
printf("Safe query: %s\n", sql1);
sqlite3_free(sql1);
// 潜在的な脆弱性を招くSQLクエリ (アンパサンドを含む名前を処理)
sqlite3_mprintf(&sql2, "SELECT * FROM table WHERE name = %s", "John & Doe");
printf("Unsafe query: %s\n", sql2);
sqlite3_free(sql2);
return 0;
}
Safe query: SELECT * FROM table WHERE name = 'O''Brien';
Unsafe query: SELECT * FROM table WHERE name = O'Brien;
Safe query: SELECT * FROM table WHERE name = 'John & Doe';
Unsafe query: SELECT * FROM table WHERE name = John & Doe;
解説
このコード例では、以下の2つのシナリオで %Q と %s の使い分けを比較しています。
シングルクォートを含む名前の処理
%Qを使用すると、シングルクォートが自動的にエスケープされ、安全なSQLクエリが生成されます。%sを使用すると、シングルクォートがエスケープされず、SQLインジェクション攻撃を受ける可能性があります。
注意事項
- このコード例はあくまでもサンプルであり、実際のアプリケーションでは状況に応じて適切なフォーマット指定子を選択する必要があります。
- 特殊文字を含まない単純な文字列をフォーマットする場合には、
%sを使用しても問題ありません。
%Qと%sの使い分けを理解することは、SQLite プログラミングにおいて重要です。- 詳細については、SQLite の公式ドキュメントを参照してください。
SQLiteにおける安全な文字列フォーマット:代替手段
sqlite3_bind_text 関数
- 準備されたステートメント内で、パラメータバインディングを利用する方法です。
- SQLインジェクション攻撃対策として効果的です。
- 以下の例は、
sqlite3_bind_text関数を使用して、安全なSQLクエリを生成する方法を示しています。
#include <stdio.h>
#include <sqlite3.h>
int main() {
sqlite3 *db;
sqlite3_stmt *stmt;
int rc;
rc = sqlite3_open("example.db", &db);
if (rc != SQLITE_OK) {
fprintf(stderr, "Error opening database: %s\n", sqlite3_errmsg(db));
return 1;
}
rc = sqlite3_prepare_v2(db, "SELECT * FROM table WHERE name = ?", -1, &stmt, NULL);
if (rc != SQLITE_OK) {
fprintf(stderr, "Error preparing statement: %s\n", sqlite3_errmsg(db));
sqlite3_close(db);
return 1;
}
// 安全なバインディング
sqlite3_bind_text(stmt, 1, "O'Brien", -1, SQLITE_TRANSIENT);
rc = sqlite3_step(stmt);
if (rc != SQLITE_OK && rc != SQLITE_DONE) {
fprintf(stderr, "Error executing statement: %s\n", sqlite3_errmsg(db));
sqlite3_finalize(stmt);
sqlite3_close(db);
return 1;
}
sqlite3_finalize(stmt);
sqlite3_close(db);
return 0;
}
独自のバインディング関数
- 独自の関数を作成して、文字列を安全にエスケープ処理およびバインド処理を行う方法です。
- より柔軟な制御が可能ですが、実装の複雑さが増します。
サードライブラリの利用
libsqlite3-rsやSQLight.Netなどのサードライブラリは、安全な文字列フォーマット機能を提供している場合があります。- ライブラリの機能や使いやすさを考慮する必要があります。
各方法の比較
| 方法 | 利点 | 欠点 |
|---|---|---|
sqlite3_mprintf (%Q) | シンプルで使いやすい | エスケープ処理の柔軟性に欠ける |
sqlite3_bind_text | SQLインジェクション対策に効果的 | 準備されたステートメントが必要 |
| 独自のバインディング関数 | 柔軟性が高い | 実装が複雑 |
| サードライブラリ | 使いやすい場合がある | ライブラリに依存する |
- シンプルで使いやすい方法を求める場合は、
sqlite3_mprintf(%Q) がおすすめです。 - SQLインジェクション対策を最優先にする場合は、
sqlite3_bind_textを使用します。 - より柔軟な制御や高度な機能が必要な場合は、独自のバインディング関数やサードライブラリの利用を検討します。
- 上記以外にも、安全な文字列フォーマットを実現する方法があります。
sqlite
