search
codatum.jpお問い合わせ相談を予約するログイン無料ではじめる

エスケープと動的参照

パラメータのエスケープ処理と動的なテーブル・カラムの参照方法

パラメータのコンテキストに基づいてSQLインジェクション保護と値のエスケープを処理します。この仕組みはセキュリティを担保するだけでなく、テーブル名やカラム名などの動的な識別子の生成も可能にします。

hashtag
パラメータのエスケープ処理

hashtag
1. 通常のコンテキストでの文字列パラメータ

  • パラメータは文字列としてエスケープされて展開されます

  • エスケープ処理は、選択されているコネクションのSQL文法に従って行われます

-- パラメータ値が user's "data" の場合
WHERE name = {{str_param}}         -> WHERE name = 'user\'s \"data\"'

-- パラメータ値が O'Reilly's "Book" の場合
SELECT name = {{company}}          -> SELECT name = 'O\'Reilly\'s \"Book\"'

hashtag
2. 引用符付きコンテキストでの文字列パラメータ

  • パラメータがダブルクォートやシングルクォートなどの引用符内にある場合、パラメータはその引用符を加味して、元の構文を壊さないようにエスケープされます

  • エスケープ処理は、選択されているコネクションのSQL文法に従って行われます

-- 以下は BigQuery のコネクションを使用した場合の例

-- ダブルクオート内("と'の両方をエスケープ)
-- パラメータ値が user"s 'data' の場合
SELECT "{{str_param}}" as alias    -> SELECT "user\"s \'data\'" as alias

-- シングルクオート内("'の両方をエスケープ)
-- パラメータ値が user"s 'data' の場合
SELECT '{{str_param}}' as alias    -> SELECT 'user\"s \'data\'' as alias

-- バッククォート内(`のみをエスケープ)
-- パラメータ値が user"s 'data` の場合
SELECT `{{str_param}}` as alias    -> SELECT `user"s 'data\`` as alias

hashtag
3. 日付パラメータの特別処理

  • 通常のコンテキスト: 日付は YYYY-MM-DD 形式で文字列として展開されます

  • ただし、BigQueryのコネクションを利用している場合、バックティック(`)で囲まれた中では YYYYMMDD 形式(ハイフンなし)に展開されます

hashtag
4. その他のパラメータ

  • 数値、真偽値パラメータはエスケープ処理は行われず、そのまま展開されます

hashtag
動的な参照の生成

  • パラメータを引用符内に配置することで、テーブル名やカラム名などの識別子を安全に生成することができます

circle-exclamation

外側の引用符に応じて、構文が壊れないようにエスケープ処理を行いますが、文字列パラメータの値には任意の文字列が指定可能なため、SQLの書き方によっては意図しないテーブルやカラムが参照されてしまう可能性があります。動的に識別子を生成する場合は、プレフィックスやサフィックスを固定する、意図しない値が指定された時にSQLがエラーになるようにSQLを記述する、等の対策を考えてください。

前へ相対日付の利用方法次へ動的な選択肢の生成

最終更新

役に立ちましたか?