🛡️

【SpringBoot】JdbcTemplateはSQLインジェクション対策できているのか

2025/06/15に公開

SpringBatchのプロジェクトにおいて、JdbcTemplateを使ってDBアクセス処理を書いていた際、「これってちゃんとSQLインジェクション対策できてるの？」という問いが生まれました。
公式を読んでみても「出来てるよ！」という明言が見つからなかったため、ライブラリの中身まで確認し、調査してみました。

 想定読者JdbcTemplateってSQLインジェクションされてるのか不安な人
SpringBatch実装したことがある人
検証にはSpringBatchプロジェクトを利用しています。ステップやジョブの概念など、細かいものは省きます。


 そもそもSQLインジェクションってなんだっけ、と言う人向け以下サイトを参考にしてみてください！
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html

 結論JdbcTemplateはSQLインジェクション出来てると思って問題ないと思います。検証に利用したバージョンとメソッドは以下。
※調査内容が膨大になるので、今回一つのSELECT系メソッドのみで検証しました。
※鵜呑みにはせず、ご自身のプロジェクト内で議論/検討/判断のうえ利用するようにしてくださいね。

 Versionspring-boot-starter-batch:2.7.0を利用しています。
内部的にはspring-jdbc:5.3.23が呼ばれてるようです。

 検証したメソッドqueryForObject
※JavaDoc
https://spring.pleiades.io/spring-framework/docs/current/javadoc-api/org/springframework/jdbc/core/JdbcTemplate.html#queryForObject-
https://github.com/spring-projects/spring-framework/blob/main/spring-jdbc/src/main/java/org/springframework/jdbc/core/JdbcTemplate.java#L883-L888

 なぜ出来てると言えるのかプレースホルダ(=「?」)使いつつ、内部的にPreparedStatementで型チェックされてるから、です。具体的には以下。
https://github.com/spring-projects/spring-framework/blob/main/spring-jdbc/src/main/java/org/springframework/jdbc/core/JdbcTemplate.java#L694-L733

 実験検証用リポジトリで遊んでみました。
https://github.com/kannna5296/jdbctemlate_example

 検証ソースの軽い仕様説明上記ソースは、バッチに引数TASK_IDを与えて実行することで利用します。 TASKテーブルのIDカラムの値が、与えた引数TASK_IDと一致していた場合、検索に成功しタスク名を標準出力するようなものです。
TASK_ID=1と引数を与えれば、以下のようにタスク名を出力してくれます。

 インジェクションしようとしてみるhttps://marunouchi-tech.i-studio.co.jp/2056/
↑このサイトを参考に、' OR 1=1--という変な引数(※)を与えて実行してみます。
※単純な文字列結合でSQL生成していた場合(ダメな例)には、生成されるSQLが ...WHERE id = '' OR 1 = 1 -- となり、全件抜き出しを許してしまうような引数です。
データ変換でバッチが落ちてくれました。対策できてそうです。

 参考公式JavaDoc
https://spring.pleiades.io/spring-framework/docs/current/javadoc-api/org/springframework/jdbc/core/JdbcTemplate.html
公式チュートリアル「Spring JDBC JdbcTemplate で SQL 発行」
https://spring.pleiades.io/guides/gs/relational-data-access/