SQLインジェクション対策に正解はない

最近、SQLインジェクションのネタが盛り上がってるようだ。下記のTogetterまとめあたりが震源地だろうか。

「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ

まとめを読んだ感想としては、「どちらの意見も間違ってはいない」というものだ。前提あるいは見方が異なるために、見解の相違が生じているだけのように思う。SQLインジェクションについては私も若干思うところがあるので意見を書いておこうと思う。

語り尽くされたことを改めてブログに書くことの意義

先日書いたSQLインジェクションの記事のブコメに、

otchy210 う～ん、このくらいの解説なら腐るほどある気がするぞ。何でこんなにブクマされてるの？

というものがあり、他にも「なんで今さら？」的なコメントがあったりして色々と考えさせられてしまった。「何故自分はこの記事を改めて書かなければいけないと思ったのか？」と。ブコメに全力で反応するようでいささか中二病的で恥ずかしいが、今日は「既に多方面で語られていることを改めて書く」ことの意義について、自分が出した結論について語ってみようと思う。

SQLインジェクションとは何か？その正体とクラッキング対策。

世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。

というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。