SQL インジェクションは、ユーザー入力を SQL クエリに直接埋め込むことで発生する脆弱性である。Flask と SQLAlchemy を使った安全なデータベース操作を解説する。
SQL インジェクションの危険性
# 危険: ユーザー入力を直接埋め込む
@app.route('/search')
def search():
q = request.args.get('q')
# 攻撃者が q に "'; DROP TABLE users; --" を入力すると...
result = db.engine.execute(f"SELECT * FROM posts WHERE title = '{q}'")
return render_template('results.html', results=result)
攻撃者は入力を操作することで、任意の SQL を実行できてしまう。
SQLAlchemy ORM を使う
SQLAlchemy ORM はパラメータを自動的にエスケープする。
@app.route('/search')
def search():
q = request.args.get('q')
# 安全: ORM がパラメータをエスケープ
posts = Post.query.filter(Post.title == q).all()
return render_template('results.html', posts=posts)
パラメータ化クエリ
生の SQL を使う必要がある場合は、パラメータ化クエリを使う。
from sqlalchemy import text
@app.route('/search')
def search():
q = request.args.get('q')
# 安全: パラメータをバインド
result = db.session.execute(
text("SELECT * FROM posts WHERE title = :title"),
{'title': q}
)
return render_template('results.html', results=result)
:title はプレースホルダで、{'title': q} で値をバインドする。
LIKE 検索の注意点
# 危険: % をそのまま埋め込む
posts = Post.query.filter(Post.title.like(f'%{q}%')).all()
# 安全: ワイルドカードをエスケープ
from sqlalchemy import func
q_escaped = q.replace('%', r'\%').replace('_', r'\_')
posts = Post.query.filter(Post.title.like(f'%{q_escaped}%', escape='\\')).all()
動的なカラム名の危険
# 危険: カラム名をユーザー入力から取る
order_by = request.args.get('sort', 'id')
posts = Post.query.order_by(order_by).all() # SQL インジェクションの可能性
# 安全: ホワイトリストでチェック
ALLOWED_SORT = {'id', 'title', 'created_at'}
order_by = request.args.get('sort', 'id')
if order_by not in ALLOWED_SORT:
order_by = 'id'
posts = Post.query.order_by(getattr(Post, order_by)).all()
IN 句の安全な使用
# 安全: リストをそのまま渡す
ids = [1, 2, 3]
posts = Post.query.filter(Post.id.in_(ids)).all()
SQLAlchemy が適切にエスケープしてくれる。
生の SQL を避けられない場合
from sqlalchemy import text
# 複雑なクエリでも必ずパラメータ化
query = text("""
SELECT p.*, u.username
FROM posts p
JOIN users u ON p.user_id = u.id
WHERE p.status = :status AND u.role = :role
""")
result = db.session.execute(query, {'status': 'published', 'role': 'author'})
防御のまとめ
ORM を使う(最も安全)
生 SQL は必ずパラメータ化クエリ
カラム名・テーブル名はホワイトリストで検証
エラーメッセージで SQL 構造を露出しない
SQLAlchemy を正しく使えば、SQL インジェクションのリスクを大幅に減らせる。
