質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.49%

[PHP]CSRF対策について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 2,819
退会済みユーザー

退会済みユーザー

ドットインストールを参考に勉強しているのですがCSRF対策で
    function h($s){
        return htmlspecialchars($s, ENT_QUOTES, "UTF-8");  
    }

    function setToken(){
        if(!isset($_SESSION['token'])){   
            $_SESSION['token'] = sha1(uniqid(mt_rand(), true));    
        }
    }

    function checkToken(){
        if(empty($_POST['token']) || $_POST['token'] != $SESSION['token']){    
                echo "不正な処理です";
                exit;
        }
    }
<input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>">
このような感じなのですがhtmlのソースを覗くとvalueの文字が見えてしまうのですがいいのでしょうか?また、なぜhtmlをエスケープする関数に違う関数の$_SESSION['token']を使っているのですか?htmlをエスケープする奴もcsrf対策と一緒なのですか?
当然tokenは違う文字列でもいいですよね?
PHPのセキュリティについて分かりやすく教えてくれるサイトはありますか?
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

分かるところだけ回答します。
htmlのソースを覗くとvalueの文字が見えてしまうのですがいいのでしょうか?
かまいません。

また、なぜhtmlをエスケープする関数に違う関数の$_SESSION['token']を使っているのですか?
htmlをエスケープする奴もcsrf対策と一緒なのですか?
意味がわからないので、パス。

当然tokenは違う文字列でもいいですよね?
他人が推測出来ないものであれば何でも良いです。

PHPのセキュリティについて分かりやすく教えてくれるサイトはありますか?
PHPだけについてでは無いですが、基本としてまずは「安全なサイトの作り方」からでしょうか。参考リンクも書かれています。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/26 22:28

    ありがとうございます!

    キャンセル

+2

また、なぜhtmlをエスケープする関数に違う関数の$_SESSION['token']を使っているのですか?htmlをエスケープする奴もcsrf対策と一緒なのですか? 

この点について回答します。

CSRF対策用のトークンをHTMLエスケープする理由として考えられるのは、トークンを正しくvalue属性値に指定するためです。
HTMLの属性値は"'で囲うのですが、そこにPHPで文字列を挿入しようとした場合、その文字列に"'などが含まれていたらHTMLエスケープする必要があります。
HTML内に文字列を挿入する場合は、XSS対策以外にもそのような問題を考えて、
文字列をHTMLとして挿入したい場合以外は原則HTMLエスケープするのが基本です。

なお、今回の場合、トークンの生成にはsha1関数によるSHA-1ハッシュの文字列を利用しています。
sha1関数が返すハッシュ文字列は16進数文字列なので、HTMLエスケープが必要な文字は含まれておらず、はっきり言えば無意味です。

ただ、前述したように、文字列を挿入する場合にはHTMLエスケープするのが基本です。
トークンはHTMLとして埋め込むことが目的ではないので、一応のためにHTMLエスケープを行っているものと考えられます。

本題とは無関係ですが、setToken関数が行っているセッショントークン生成機構は危険です。
トークンの生成は、暗号論的擬似乱数生成器によるもののほうが安全であるという意見があります。

CSRF の安全なトークンの作成方法 | Webセキュリティの小部屋
CSRF の安全なトークンの作成方法(PHP編) | Webセキュリティの小部屋
For CSRF tokens, mt_rand() is ok-ish but openssl_random_pseudo_bytes() is a lot better | Paul M. Jones
PHP: 疑似乱数の文字列を生成する - Sarabande.jp

トークンの生成には、openssl_random_pseudo_bytesmcrypt_create_ivSecure-random-bytes-in-PHPを利用した方が良いです。

個人的には、Secure-random-bytes-in-PHPをオススメします。
これは、内部的にopenssl_random_pseudo_bytesmcrypt_create_ivなどが利用できるか自動で判定し、乱数を生成してくれます。

openssl_random_pseudo_bytesの場合:
function setToken(){
    if(!isset($_SESSION['token'])){
        $_SESSION['token'] = rtrim(base64_encode(openssl_random_pseudo_bytes(32)),'=');
    }
}

mcrypt_create_ivの場合:
function setToken(){
    if(!isset($_SESSION['token'])){
        $_SESSION['token'] = rtrim(base64_encode(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM)),'=');
    }
}

Secure-random-bytes-in-PHPの場合:
require 'srand.php';

function setToken(){
    if(!isset($_SESSION['token'])){
        $_SESSION['token'] = rtrim(base64_encode(secure_random_bytes(32)),'=');
    }
}

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/27 07:01 編集

    とても分かりやすかったです!ありがとうございます!とても参考になりました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.49%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る