Re:っていうか、これ (#1927280) | MySQL、ブラインド SQL インジェクションにより情報漏洩が発生

「MySQL、ブラインド SQL インジェクションにより情報漏洩が発生」記事へのコメント

記事ページを表示すべてのコメント取得

検索45コメント Log In/Create an Account

っていうか、これ (スコア:4, 興味深い)

by gonta (11642)

「ブラインド」SQLインジェクションって、区別するものなのかな？SQLインジェクションそのものだと思うんだけど。SQLインジェクションの種類わけならそれでもいいと思うんだが、何か別物のように聞こえてしまって/扱っているようで、違和感感じました。
PHPのソーシャルアプリを使っている人間に聞いたら、PDOでPlaceFolderを使ったクエリ作成（prepare使うやつ）は、使わないんだとか。PDOって処理速度が重いので、PV稼がなくてはいけないソーシャルアプリには不適切なんだとか。教科書どおりなら、SQLインジェクション防ぐのはprepare()が有効だと思うんだが・・・

--
-- gonta --
"May Macintosh be with you"
- Re: (スコア:0)
  
  by Anonymous Coward
  
  さすがPHPer、期待に違わぬ残念さ。
  Javaで速度を稼ぐためにPreparedStatementをやめたなんて話は聞いたことがないなあ(検索条件が動的に変化するので使えなかったということはあるけど)。むしろかえってparseが必要な分遅くなるとしか思えないんだけど。
  実はDBMSがなんちゃってPreparedStatementしか用意されていないMySQLだったなんてオチはないよね。
  - Re: (スコア:1)
    
    by ootori (41812)
    
    詳細聞かずに、PHPerだと無条件でたたくのはやめたほうが良いと思いますよ。
    
    たとえばJAVA屋さんだとDBコネクションをプーリングするのが常識みたいになってますけど、
    ソーシャルアプリ業界ではプーリングするのは逆にご法度みたいな部分があったり
    ジャンルによってノウハウって違いますからね。
    
    DBあんまり詳しくないんでまちがってたらすいませんけど、毎回DB接続をオープン、クローズしてたらprepared statementでのSQL解析をするぶん速度は落ちるのではないでしょうか？
    そういう意味ではPrepare statementやめて生SQL生成してそれ投げるというのはわかる気はしますね。
    
    月間一億PV程度のしょぼいサイト(秒間最大200PVくらい)までしか扱ったことない私はprepare statement使っても問題ないとは思いますが、ソーシャルアプリとか秒間数千から数万のクエリさばく世界ですからね。
    中途半端な知識の人間が根拠なしにPreparedStatementをやめたなんていってるとはおもえないんですけど･･･
    - Re: (スコア:2)
      
      by kou1slash (5979)
      
      prepared statement ってクエリキャッシュに載せるために使うものでコネクションプーリングとはあまり関係ないと思ってたんですがあってますかね？
      「毎回DB接続をオープン、クローズした時のSQL解析」を高速化するためのの物という把握でした。
      DBは幾らか分かるんですが、アプリは素人なんで変なコト言ってるかもしれませんけど…。
      - Re: (スコア:1)
        
        by ootori (41812)
        
        このあたりの質問が私の言いたかったことに近いですね。
        
        http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=5374&forum=12 [atmarkit.co.jp]
        > PreparedStatementによりプリコンパイルされたSQLは
        > コネクションをクローズした後もキャッシュされているのでしょうか？
        
        コネクションクローズしたあともプリコンパイルされたSQLが保持されているということであれば納得です！
        違うなら生SQLの方がはやいですよね？？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        > 違うなら生SQLの方がはやいですよね？？
        なんで?
        
        Re: (スコア:1)
        
        by ootori (41812)
        
        プリコンパイルしたSQLのキャッシュがない前提でのはなしですが
        【プリコンパイルあり】
        prepared,execute(プリコンパイルされたSQL) 2回通信または2回実行
        【プリコンパイルなし】
        execute(生SQL) 1回通信または1回実行
        だとおもうんですが？ちがいますか？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        そもそもどうしてstatementがキャッシュされることがないなんて非現実的な仮定にこだわるんですか? 性能が重要なサーバじゃなかったの?
        
        Re: (スコア:1)
        
        by ootori (41812)
        
        > そもそもどうしてstatementがキャッシュされることがないなんて非現実的な仮定にこだわるんですか? 性能が重要なサーバじゃなかったの?
        
        ぼくが書いた内容をちゃんと読んでますか？
        こだわるってるんじゃなくてわからなくてずっと質問してるんですが･･･
        質問してる人間に質問で返すなと･･･
        
        PDOでコネクションクローズしたあとでもstatementがキャッシュにのっているのであればおっしゃるとおりだと思います。
        ただ、コネクションクローズしたあとでもstatementのキャッシュがつかえるのかどうかそこがわからんのです。
        そしてその部分はだれも教えてくれない･･･
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        毎回コネクションクローズしてたらそのコストがでか過ぎて、
        preparedだろうとそうでなかろうと大した差がない。
        そもそもプーリングがご法度って本当なの？
        ソース出してくれませんかね？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        PHPでコネクションプーリングするとき、普通はpg_pconnectを使う。これを使うとプロセスが終了するまでコネクションを開きっぱなしにする。Apacheでmod_phpを使うと1つのプロセスは同時に1つのPHPスクリプトしか実行できないから、pg_closeしてもそのコネクションを再利用できるのは同時実行されている他のプロセスのスクリプトではなく、同じプロセスが実行する次のスクリプトになってしまう。これによって接続しているだけでメモリを占有するのに何もしないコネクションが大量発生し、性能が劣化する。元々MySQLはコネクションの作成がとても速いから、こんな不完全なプーリングを使うよりは、そのつどpg_connectして使い終わったらすぐpg_closeした方がメモリ要求が少なくなってトータルでは効率的。
        
        Re: (スコア:1)
        
        by ootori (41812)
        
        ですよね･･･
        ソーシャルアプリ界隈って言ったのが癪に障ったのかえらく叩かれてしまいました。
        
        ソーシャルアプリに限らずPHPの高負荷サイトでpconnect使わないのは比較的常識の部類だと思ってたんですけどね（グッドノウハウなのかバッドノウハウなのかはさておいてね）。
        
        それにしても「使う技術によってノウハウは違うよ」って言っただけのつもりだったのに何でこんなに叩かれたんだか･･･
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        そういう当てこすりをしたいなら、技術論の場には出てこないほうがいいんじゃないかな。
        多くは技術的に正しいか正しくないかを論議しようとしてるよね。
        #1926755 の論点を洗うと、
        1. コネクションプーリングはソーシャルアプリ界隈ではご法度
        2. Prepared Statementを使うとSQLのパースは遅いのではないか
        の二点になると思うけど、これでいい？
        1に関して繋がっているのは #1926785 #1926836 #1927085 で叩きになってるようには見えないけどどうかな。
        #1926793 の「本当にこれ合ってるの？」に対して反論が出てきてないのが気になる。
        #1927085 の通りだとするとMySQL特有で、PHP+Pos
        
        Re:っていうか、これ (スコア:1)
        
        by ootori (41812) on 2011年03月29日 14時55分 (#1927280) 日記
        
        これベースに話してるんだと思ってたんですが･･･
        http://srad.jp/security/comments.pl?sid=527293&cid=1926729 [srad.jp]
        
        で、私の意見は「使う技術によってノウハウは違うよね？」「詳細聞かずに残念いっちゃだめだよ」の２点ですよ？
        
        他の発言に関しては質問してる内容を質問でかえされたから私はこう思ってるんだけど違うのかな?って考えをいっただけで議論するつもりはないですよ･･･
        そんな議論ができるほど立派なエンジニアではないですから･･･
        
        > 叩きが入っているようには見えないんだがどう？
        その後馬鹿馬鹿言われてたので、たたかれたと表現しましたけどね･･･馬鹿とかいわれなければたたかれたとは言いませんよ。それとも馬鹿と相手に対して言い放つのは議論であって叩いてないということでしょうか？
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

MySQL、ブラインド SQL インジェクションにより情報漏洩が発生 More ログイン

「MySQL、ブラインド SQL インジェクションにより情報漏洩が発生」記事へのコメント

っていうか、これ (スコア:4, 興味深い)

Re: (スコア:0)

Re: (スコア:1)

Re: (スコア:2)

Re: (スコア:1)

Re: (スコア:0)

Re: (スコア:1)

Re: (スコア:0)

Re: (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:1)

Re: (スコア:0)

Re:っていうか、これ (スコア:1)

スラド