Q&A
なんでhtmlspecialchars()で処理したような文字列をそのままDBに持たせたりする悪手をやったのだろう。DBには実文字列そのまま保存するべきなのに。
お世話になります。
PHPの「htmlspecialchars」と「htmlspecialchars_decode」につきましてご教授頂けますでしょうか。
【前提】
データベースに「<script>alert(1)</script>」というデータが登録されている。
【やりたいこと】
データベースに登録されている「<script>alert(1)</script>」というデータを「<script>alert(1)</script>」という文字列として表示したい。ただし、XSS対策はされていて、アラート表示はされない状態で単なる文字列として「<script>alert(1)</script>」を画面上に表示したい。
下記のような流れでXSS対策としてエスケープ処理をしました。
① phpで上記【前提】のデータをSQLで抽出(抽出したデータは「$name」に格納)
② <?php echo $name; ?>でブラウザで表示
③ ブラウザで表示するとアラートが表示される(XSSできてしまう状態)
④ 表示内容は「<script>alert(1)</script>」なのでNG。
⑤ XSS対策のため、①で抽出したデータをhtmlspecialcharsで変換($name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8')
⑥ 表示を正しくするため、変換した$nameをhtmlspecialchars_decodeで変換($name = htmlspecialchars_decode($name, ENT_QUOTES)
⑦ <?php echo $name; ?>でブラウザで表示
⑧ アラート表示はなくなり、「<script>alert(1)</script>」という文字列が表示された
【ご教授頂きたいこと】
・上記はエンコードした後にデコードして表示していますが、そもそもこのやり方でXSS対策になっているのでしょうか。結果だけを見るとアラートは表示されず(javascriptは機能せず)、かつ表示も意図した通りになっていますが、「たまたまうまくいっているだけ」や「別の方法で攻撃されたときに対処できない」などがございましたらご指摘頂ければ幸いです。
・上記のような「エンコード⇒デコード」をする以外の方法がございましたら教えて頂けますと幸いです。
※テストの方法が拙いため、「なんでこんなやり方しているのか?」などの疑問がありましたらそちらもご指摘頂ければ説明致します。
以上です。宜しくお願い致します。
回答1件
0
ベストアンサー
XSS対策は基本的に「画面出力時・表示時に」行うものです。
DBにはそのまま<script>alert(1)</script>を登録して表示時にhtmlspecialchars()を行ってください。
htmlspecialchars()はあくまで「HTMLエスケープ」を行うものです。
SQLインジェクション対策で使うものではありません。
投稿2018/12/07 05:55
総合スコア80888
ご回答ありがとうございます。
DBには入力フォームからデータ入力する仕様にしており、「<script>alert(1)</script>」を入力すると「<script>alert(1)</script>」に変換されて格納されます。これを「htmlspecialchars()」で表示するとそのまま「<script>alert(1)</script>」が表示されてしまうため、デコードしています。
そもそもDB格納時の「変換される」のが一般的ではないのでしょうか・・・
勝手に変換はされないですよ。どこかに保存直前にhtmlspecialchars()されてるんでしょう。
ユーザの入力はもちろんバリデーションは行われた前提でありますが、
そのまま登録するのが原則です。勝手に加工してはいけません。
表示時はXSS対策のためにhtmlspecialchars()でHTMLエスケープは行いますが、それも「登録時のままの情報を表示するため」という意味も含んでいます。
>勝手に変換はされないですよ。どこかに保存直前にhtmlspecialchars()されてるんでしょう。
テスト環境を構築して、mysqlを使って入力データを確認しています。
phpは入力フォームだけなので変換処理はかけておりません。入力したデータを確認したところ「あれ?<が<に変換されてる・・・」ということがあったため疑問を抱きました。疑問を調べていく過程でXSSには変換処理が必要であることを知り、「<を<に変換しているのもDB側の仕様で、XSS対策の一環だろう」と考えておりました。
これはDB側の設定か何かと考えた方がよろしいでしょうか?
(説明が拙くて申し訳ございません。phpの勉強中のため知識不足なところがあります)
表示用に加工した文字列を収めた変数を、DB保存用にそのまま流用したら、そうなるわな。
なるわな。
ためしに下記を提示願います
・入力画面のコード
・入力、送信された情報を受け取りDBに保存するコード
・DBから情報を取得し画面に表示するコード
プログラムは指示した通りにしか動かないので勝手にXSS対策してはくれません。
下記のようなコードを作成しました(見にくいコードで申し訳ございません)
【入力画面のコード(test.php)】
<div class="test1">
<input type="text" class="test2" id="perUser" name="namae" placeholder="ユーザーネーム">
</div>
【入力、送信された情報を受け取りDBに保存するコード(test.phpとは別ファイル)】
try{
$db = new PDO($dsn, $user, $password);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$stmt = $db->prepare('
UPDATE user
SET
user.name = ?
WHERE
user.id='1'
');
$udata[] = $namae;
$stmt->execute($udata);
print '<script>alert("変更完了")</script>';
}catch(Exception $e){
print 'エラー';
exit();
}
【DBから情報を取得し画面に表示するコード(test.php)】
try{
$db = new PDO($dsn, $user, $password);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$stmt = $db->prepare("SELECT * FROM user WHERE id = '1' AND name = ?");
$data[] = $name;
} catch(PDOException $e){
echo "エラー:" . $e->getMessage();
}
<div class="profile">
<button class="test3"> <?php echo $name . 'さん';?><br></button>
</div>
$namaeに格納している箇所も示してね。$_POST['namae']から加工してあるはずだから。
コードは質問本文にマークダウン<code>利用してご提示ください。
>コードは質問本文にマークダウン<code>利用してご提示ください。
ご指摘ありがとうございます。初質問でしたのでルールを把握しておりませんでした。
>$namaeに格納している箇所も示してね。$_POST['namae']から加工してあるはずだから。
格納しているコードは以下となります。
<code>
$namae=$_POST["namae"];
$namae=htmlspecialchars($namae,ENT_QUOTES,'UTF-8');
</code>
お二人のご指摘を受け、再度「データ入力⇒DB確認⇒表示」の流れのコードを追ってみました。
そこで上記のようにDB登録時にhtmlspecialcharsで変換していることがわかりました。
当初ご指摘頂いた「勝手に変換されるはずはない」が正にその通りでした。
この度は私の勘違いでお時間を取らせてしまい申し訳ございません。
大変助かりました。
※DBへの登録時に変換しているのはミスなので出力(表示)時に変換するよう修正します。
解決されたようで何よりです。
「指示した通りにしか動かない」は常に念頭に置いて問題に取り組んでくださいね
>「指示した通りにしか動かない」は常に念頭に置いて問題に取り組んでくださいね
仰る通りですね。「勝手にDB側で処理をかけているのではないか」と疑念を抱いていましたが、私のミスなだけでした。
あなたの回答
tips
プレビュー
