Q&A
PHP初心者ですが、ご回答頂ければ幸いです。
どうぞ宜しくお願い致します。
只今、header()関数を用いて、別ページに移動するプログラムを制作しております。
そこで、例えば下記のようなコードでページを移動させようとする場合...
PHP
1 2//htmlspecialchars適用 3public function TEXT_CHECK($var){ 4 return htmlspecialchars($var, ENT_QUOTES, 'UTF-8'); 5} 6 7//別ページ移動 8private function TEST(){ 9 10 //これか 11 $this->url = 'https://www.example.com/?test1=abc&test2=def'; 12 //またはこれ 13 $this->url = 'https://'.$_SERVER["HTTP_HOST"].$_SERVER["REQUEST_URI"] ; 14 //...として 15 16 header('HTTP/1.1 303 See Other'); 17 header('Location: '.$this->TEXT_CHECK($this->url)); 18 exit ; 19 20}
移動先ページのブラウザURLが、
HTML
1https://www.example.com/?test1=abc&test2=def
と表示され、文字参照となりページは表示されないのですが、
<質問1>
この場合、header()のLocationに指定したURLには、htmlspecialchars()を適用しないものでしょうか?また、HTMLだと「&」は「&」と認識されると思うのですが、URLの場合はどうなるのでしょうか?
<質問2>
また、$_SERVERで取得した値は、どのように扱うのがセキュリティ強化に繋がるでしょうか?
$_SERVERで取得した値を、htmlspecialchars()を通さず直接使用するというのが、どこか不安を感じるもので...
<質問3>
別ページに移動するプログラムを制作するとき、皆様はどのような点に気をつけながら制作しますか?
そもそもな、的外れ的な質問だとしたら申し訳ございません...
どうぞ宜しくお願い致します。
回答1件
0
ベストアンサー
<質問1>
この場合、header()のLocationに指定したURLには、htmlspecialchars()を適用しないものでしょうか?また、HTMLだと「&」は「&」と認識されると思うのですが、URLの場合はどうなるのでしょうか?
htmlspecialchars()は適用しません。適用するのは間違いです。
その理由は、Locationヘッダの内容は単なるテキストであり、HTML形式ではないからです。
<質問2>
また、$_SERVERで取得した値は、どのように扱うのがセキュリティ強化に繋がるでしょうか?
$_SERVERで取得した値を、htmlspecialchars()を通さず直接使用するというのが、どこか不安を感じるもので...
$_SERVERで取得した値は一般的に信頼できないので、「信頼できない値」として扱うのが正しいです。Locationヘッダで htmlspecialchars()を通すのは間違いですが、HTML内に表示する場合はhtmlspecialchars()は必須です。また、SQLクエリーの際にはSQLインジェクション対策は必須です。このように、文脈に応じて必要な処理は変わります。
<質問3>
別ページに移動するプログラムを制作するとき、皆様はどのような点に気をつけながら制作しますか?
Location ヘッダに通す際は、以下が重要となります。
- ホスト名が意図した値かどうかを確認する。できれば、$_SERVERから取得せずハードコーディングした方がよい。
- URLをスクリプト内で組み立てる際はパーセントエンコードを忘れないこと。$_SERVER["REQUEST_URI"]をそのまま使う場合は既にパーセントエンコードされているはずなので、二重にパーセントエンコードする必要はない
- URL内に改行がないか。$_SERVER["REQUEST_URI"]を使う場合は改行はないはずだが、念のため確認してもよい。URLをアプリケーション内でで組み立てている際は改行チェックは必須
これら以外にアプリケーション特有の注意があるかもしれませんが、それはアプリケーションの仕様が分からないとなんとも言えません。
投稿2017/11/25 07:56
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/11/25 09:20