PHP Conference Japan 2022
採択
Lightning Talk (4mins)
Security
LaravelでLIKE句のSQLインジェクション対策をする
ゆい
fyui_001
派手なSQLインジェクションは一般的なWebフレームワークを使用すれば基本的に発生しません。
しかし、LIKE検索を行う場合はDoS攻撃が成立してしまうことがあります。
LIKE "%a%b%c%d%e%e%f%g%@%.%"
上記のようなクエリはSQLエンジンに大きな負荷をかけます。
LIKE句のメタ文字はエスケープする必要がありますが、
$query->where('hoge', 'LIKE', '%' . $value . '%');
と直に書いてしまうケースは多いと思います。
LaravelでのこのLIKE句のインジェクション対策はおそらく3通りほどあると思うので、
それぞれのソリューションをご紹介していこうと思います。