KotlinのSQLインジェクション対策の基本をやさしく解説!初心者でもわかる安全なデータベース操作
生徒
「先生、Kotlinでデータベースを使っているんですけど、セキュリティのことで気をつけることってありますか?」
先生
「ありますよ。特に『SQLインジェクション』という攻撃には注意が必要です。Kotlinで安全にデータベースを使うために、しっかりと対策をしておくことが大切です。」
生徒
「SQLインジェクションって何ですか?名前からしてちょっと怖そう…」
先生
「とても大事なポイントなので、今回はKotlinでできるSQLインジェクション対策の基本を、初心者向けに分かりやすく説明していきましょう!」
1. SQLインジェクションとは?
SQLインジェクションとは、アプリがデータベースとやり取りするときに、悪意のある人が不正な命令を混ぜて送ることで、データを盗んだり壊したりする攻撃のことです。
たとえば、ログイン画面などで入力した内容がそのままデータベースに使われてしまうと、次のような危険があります。
例えるなら、郵便ポストに手紙を入れたつもりが、泥棒が中身を勝手に書き換えて悪さをしてしまうような状態です。
2. 危険なコードの例を見てみよう
もし次のように、ユーザーが入力した文字列を直接SQLに使ってしまうと、とても危険です。
val input = "' OR '1'='1"
val query = "SELECT * FROM users WHERE name = '$input'"
このようなコードでは、悪意のある入力をした人が、本来見ることができないデータまで見られてしまう可能性があります。
3. パラメータバインディングで安全にしよう
Kotlinでは、Roomなどのライブラリを使うことで、安全な方法でデータベースに値を渡すことができます。これをパラメータバインディングといいます。
パラメータバインディングとは、「この部分には文字列を入れるけど、命令じゃないよ」と教えてあげる方法です。たとえるなら、「大事な手紙をビニール袋に入れてからポストに投函する」ようなイメージです。
@Query("SELECT * FROM users WHERE name = :name")
fun findUserByName(name: String): User?
このように書くことで、たとえ悪い文字列が入力されても、命令として実行されず、ただの文字として扱われます。
4. Roomを使った安全なログイン処理の例
それでは、Roomを使ってSQLインジェクション対策をしたログイン処理の基本を見てみましょう。
@Dao
interface UserDao {
@Query("SELECT * FROM users WHERE name = :name AND password = :password")
fun login(name: String, password: String): User?
}
このように:nameや:passwordを使うことで、安全なクエリを実行できます。
5. プレースホルダを使った原始的な対策(JDBC)
Roomを使わない場合でも、JDBCという方法でプレースホルダを使って安全にSQLを書けます。
プレースホルダとは、入力を「空欄」にしておいて、あとで安全に値をはめ込む方法です。
val sql = "SELECT * FROM users WHERE name = ?"
val statement = connection.prepareStatement(sql)
statement.setString(1, userInput)
val resultSet = statement.executeQuery()
このように?の位置に入力をセットすることで、SQLインジェクションを防ぐことができます。
6. ユーザー入力のバリデーションも大切
SQLインジェクションを防ぐためには、データベースのクエリだけでなく、「入力そのものをチェックする」ことも重要です。
バリデーションとは、「その入力が正しいかどうか確認すること」です。
たとえば、名前に記号が含まれていたらエラーにしたり、パスワードの長さを制限したりします。
if (!Regex("^[a-zA-Z0-9]+$").matches(userInput)) {
throw IllegalArgumentException("無効な文字が含まれています")
}
このようにして、最初の段階で怪しい入力をはじくことができます。
7. 入力チェックとパラメータバインディングの併用が安全
「パラメータバインディングだけで大丈夫」と思われがちですが、それだけでは完ぺきではありません。
一番安全なのは、「バリデーションで不正な入力を防ぎつつ、パラメータバインディングでSQLに値を渡す」方法です。
たとえるなら、「手紙を袋に入れて、ちゃんと送り先のルールに沿って投函する」ようなものです。
Kotlinを基礎からしっかり学びたい人や、 Java経験を活かしてモダンな言語にステップアップしたい人には、 定番の入門書がこちらです。
基礎からわかるKotlinをAmazonで見る※ Amazon広告リンク
8. SQLインジェクションの危険性を忘れずに
SQLインジェクションは、アプリのデータが全部盗まれたり、改ざんされたりする恐ろしい攻撃です。
Kotlinでデータベースを扱うなら、RoomやJDBCなどの安全な方法を使い、入力チェックも忘れないようにしましょう。
初心者でも、基本的なポイントを押さえれば、十分に対策ができます。
【未経験OK】Kotlinで始めるプログラミング入門|ゼロから「動く喜び」を体験する60分
「プログラミングを始めたい」を形にする。最新言語Kotlinで楽しむ、ものづくりの第一歩。
本講座は、プログラミング経験が全くない方のためのエントリー講座です。「コードを書くってどういうこと?」という基本から、世界中で使われている最新言語Kotlin(コトリン)を使って、実際にプログラムを動かすまでを体験します。難しい理屈よりも、まずは「自分の手で動かす楽しさ」を最短距離で実感していただきます。
具体的な体験内容と環境
【つくるもの】
簡単な言葉を入力すると自動で返答してくれる「対話型ミニプログラム」や、計算を自動化する「便利ツール」をゼロから作成します。黒い画面に自分の書いた文字が表示される瞬間は、最高の感動体験です。
【開発環境】
プロのエンジニアが実際に使っている開発ツールIntelliJ IDEA(インテリジェイ)をインストールします。ボタン一つで日本語化し、初心者でも迷わず操作できる「魔法の設定」を一緒に行います。
この60分で得られる3つの体験
プロと同じ道具を揃えることで、明日から一人でもプログラミングを続けられる環境が整います。
「変数」や「型」といった難しい言葉も、身近な例え話で解説。モヤモヤをゼロにします。
Kotlinは英語に近くて読みやすいのが特徴。自分でコードを読んで、間違いを見つけるコツも伝授します。
※本講座は、パソコン操作が不安な方でも安心して受講いただける完全マンツーマンです。あなたのペースに合わせて、一つずつ丁寧に進めていきます。
Kotlinで始めるプログラミング入門|ゼロから「動く喜び」を体験