PostgreSQLのプレースホルダーの使い方とSQLインジェクション対策

PostgreSQLを業務システムに導入している開発者にとって、SQLインジェクションは無視できない重大なセキュリティ課題です。
本記事では、SQLインジェクションを防ぐための方法として広く使われているプレースホルダーの正しい使い方を解説します。

特に、$の後の数字は連番でないといけないのか？という疑問に答えながら、プレースホルダーに関するルールや間違えやすいポイントを丁寧に紹介します。

プレースホルダーとは

プレースホルダーとは、SQL文の中に値を直接書かずに、あとから変数として渡すための仕組みです。
これにより、外部から渡された入力値がそのまま実行されてしまうリスク、つまりSQLインジェクションの脅威を回避することができます。

PostgreSQLにおいては、次のような形式でプレースホルダーを使用します。

この$1や$2がプレースホルダーです。

プレースホルダーの基本ルール

PostgreSQLのプレースホルダーには、以下のような厳密なルールがあります。

必ず連番であること

プレースホルダーは、$1から始まり、使用するごとに$2, $3…と連続した番号でなければなりません。

正しい例

間違った例

このように番号を飛ばすと、文法エラーになります。

位置と値が一致している必要がある

クエリに使われているプレースホルダーの順番と、実際に渡す値の順番は完全に一致していなければなりません。

例：クエリとバインド値の対応

このとき、1234が$1、‘関東地方’が$2に割り当てられます。

実装例（シェルスクリプトや独自アプリケーションからの接続）

例えば、プログラムの中からプレースホルダーを使用して安全なクエリを実行する場合は以下のようになります。

実装例（PostgreSQLクライアントの使用）

この例では、$1と$2にそれぞれ値をバインドして実行しています。

--setの使用方法はツールやラッパーの仕様によって異なる場合があるため、実際の環境に合わせて調整してください。

命名型のプレースホルダーは使えるのか？

PostgreSQLの純粋なSQL構文では、命名されたプレースホルダー（例：:顧客ID）は使用できません。
そのため、$1, $2, $3といった位置指定方式のみが許容されます。
ただし、命名型パラメータを使いたい場合は、外部のライブラリなどを用いることで、より読みやすく柔軟な記述が可能です。

命名型プレースホルダーを使いたいときの選択肢

• SQLビルダーを利用する
• 接続ライブラリ（例：pg-promiseやDjango ORMなど）を利用する

例（pg-promiseを使った場合）

このように、位置ではなく名前で値を渡すことで、クエリの可読性が大幅に向上します。

よくある間違いと注意点

間違い内容	解説
$1と$3のように間を飛ばして使う	エラーの原因になります。連番を守ること。
値の順番を間違えてバインドする	意図しない結果になる可能性があるため、順番に注意。
$の後に名前をつけようとする（例：$顧客ID）	PostgreSQLでは数値のみが認識されます。命名型は使えません。

まとめ

安全で信頼性の高いシステム構築のためには、基本的なルールを正しく理解し、確実に実装することが欠かせません。
PostgreSQLを利用する際には、今回紹介したようなプレースホルダーの仕様と使い方をしっかり押さえておきましょう。

今後も、システムエンジニアとして間違いにくく、再利用しやすい実装方法を模索しながら、安全なコード設計を心がけていきましょう。