準備されたステートメントはSQLインジェクションに対して100％安全ですか？

SQLインジェクションから100％安全であることを保証しますか？ （私から）それを取得するつもりはありません。

原則として、データベース（またはdbと対話する言語のライブラリ）は、バッファオーバーフローの悪用やユーザーのnull終了文字の使用など、何らかの高度な攻撃を受けやすい安全でない方法で、バインドされたパラメータを使用して準備済みステートメントを実装する可能性があります文字列などを提供します（これらのタイプの攻撃は、根本的に異なるため、SQLインジェクションと呼ばれるべきではないと主張できますが、それは単なる意味論です）。

実際のデータベースで準備されたステートメントに対するこれらの攻撃について聞いたことがなく、バインドされたパラメーターを使用してSQLインジェクションを防ぐことを強くお勧めします。バインドされたパラメーターや入力サニテーションがなければ、SQLインジェクションを行うのは簡単です。入力衛生だけでは、衛生の周りにあいまいな抜け穴を見つけることがかなり可能です。

バインドされたパラメーターを使用すると、SQLクエリの実行計画は、ユーザー入力に依存せずに事前に把握されるため、SQLインジェクションは不可能になります（挿入された引用符、コメント記号などは、コンパイル済みのSQLステートメント内にのみ挿入されるため）。

準備されたステートメントの使用に対する唯一の議論は、実際のクエリに応じてデータベースで実行プランを最適化することです。ほとんどのデータベースは、完全なクエリが与えられた場合、最適な実行計画を実行するのに十分スマートです。たとえば、クエリがテーブルの大部分を返す場合、テーブル全体を調べて一致を見つける必要があります。一方、数個のレコードを取得するだけの場合は、インデックスベースの検索 [1] を実行できます。

EDIT：2つの批判への対応（コメントには長すぎる）：

最初に、他の人が「はい」と述べたように、準備されたステートメントとバインドされたパラメーターをサポートするすべてのリレーショナルデータベースは、バインドされたパラメーターの値を見ないで準備されたステートメントを必ずしもプリコンパイルするわけではありません。多くのデータベースは慣習的にこれを行いますが、実行計画を理解するときにデータベースがバインドされたパラメーターの値を調べることも可能です。これは問題ではありません。バインドされたパラメーターが分離された準備済みステートメントの構造により、データベースがSQLステートメント（SQLキーワードを含む）をバインドされたパラメーターのデータ（バインドされたパラメーターには何もない）から簡単に明確に区別できるためです。 SQLキーワードとして解釈されます）。これは、変数とSQLキーワードが混在する文字列連結からSQLステートメントを構築する場合は不可能です。

次に、 other answer が指摘しているように、プログラムのある時点でSQLステートメントを呼び出すときにバインドされたパラメーターを使用すると、そのトップレベルの呼び出しを行うときにSQLインジェクションを安全に防ぐことができます。ただし、アプリケーションの他の場所にSQLインジェクションの脆弱性がある場合（たとえば、文字列連結によってSQLクエリを構築するために安全でない方法で作成したデータベースに保存および実行したユーザー定義関数）。

たとえば、アプリケーションで次のような疑似コードを記述したとします。

sql_stmt = "SELECT create_new_user(?, ?)"
params = (email_str, hashed_pw_str)
db_conn.execute_with_params(sql_stmt, params)

このSQLステートメントをアプリケーションレベルで実行する場合、SQLインジェクションはありません。ただし、ユーザー定義のデータベース関数が安全に作成されていない場合（PL/pgSQL構文を使用）：

CREATE FUNCTION create_new_user(email_str, hashed_pw_str) RETURNS VOID AS
$$
DECLARE
   sql_str TEXT;
BEGIN
     sql_str := 'INSERT INTO users VALUES (' || email_str || ', ' || hashed_pw_str || ');'
     EXECUTE sql_str;
END;
$$
LANGUAGE plpgsql;

この場合、SQLインジェクション攻撃に対して脆弱になります。SQLインジェクション攻撃は、SQLステートメントをユーザー定義変数の値を含む文字列と混合する文字列連結によって構築されたSQLステートメントを実行するためです。

つまり、安全でない（文字列連結によるSQLステートメントの構築）ことを試みているのでない限り、次のような安全な方法でユーザー定義を記述するほうが自然です。

CREATE FUNCTION create_new_user(email_str, hashed_pw_str) RETURNS VOID AS
$$
BEGIN
     INSERT INTO users VALUES (email_str, hashed_pw_str);
END;
$$
LANGUAGE plpgsql;

さらに、ユーザー定義関数の文字列からSQLステートメントを作成する必要性を本当に感じた場合でも、ユーザー定義関数内であっても、stored_procedures/boundパラメーターと同じ方法でSQLステートメントからデータ変数を分離できます。たとえば PL/pgSQL の場合：

CREATE FUNCTION create_new_user(email_str, hashed_pw_str) RETURNS VOID AS
$$
DECLARE
   sql_str TEXT;
BEGIN
     sql_str := 'INSERT INTO users VALUES($1, $2)'
     EXECUTE sql_str USING email_str, hashed_pw_str;
END;
$$
LANGUAGE plpgsql;

したがって、準備されたステートメントを使用すると、安全でないこと（文字列の連結によってSQLステートメントを構築すること）を行わない限り、SQLインジェクションから安全です。