投稿2018/12/14 12:45
編集2018/12/14 12:48CodeIgniterでViewの共通部分をgeneral_view.phpとして定義しました。そしてgeneral_view.phpの中で、ほかのViewを呼ぶためにincludeを使っています。
php
1<!doctype html> 2<html> 3 <head> 4 <!-- 省略 --> 5 </head> 6 <body> 7 <main> 8 <!-- ほかのViewを読み込み --> 9 <?php include __DIR__.$view.'.php'; ?> 10 </main> 11 </body> 12</html>
$view変数の中身には、例えばURLをhttp://hogehoge.com/viewとするとviewが入ってきます。このコードに関して2点質問がございます。
どなたかご教授いただければ幸いです。
回答2件
0
ベストアンサー
CodeIgniter は非常にゆるいフレームワークなので、適当にコーディングしても動きますが、フレームワークの基本ぐらいは使ってあげると良いです。
本件だと、
チュートリアル
を一通り進めると、コントローラに追加する方法が記述されています。
他にもいくつか方法はありますが、セキュリティ的に気になる場合は大抵の場合フレームワーク側に用意があるのでドキュメントから探してみると良いです。
投稿2018/12/15 08:06
退会済みユーザー
総合スコア0
0
このようなやり方ではディレクトリトラバーサルなどのセキュリティリスクを発生させてしまうのでしょうか?
ディレクトリトラバーサルができるかというと微妙な気はします。まず、以下のようなリクエストをブラウザはそのまま受け付けません。
http://example.jp/../../../../evil
ブラウザにもよるでしょうが、実際には以下のURLにリクエストされます。
ブラウザを使わなければ、無理やりウェブサーバーに前記のリクエストを投げられますが、手元の環境で試すと、400 Bad Requestになりました。PHP等の処理は開始されないと思います。
ならば大丈夫かというと、気持ち悪いとは思いますね。URLパスの形でパラータを渡すことをPATH_INFOといいますが、PATH_INFOならエラーになるかもしれないが、クエリ文字列 (?view=../../../../etc/passwd) ならエラーにはならないので、さまざまなケースを考えると、そのような作り方は避けたほうがよいように思います。
ちなみに、include/requireにて不正なパス名を渡す攻撃は、ファイルインクルード攻撃といいます。
これが誤ったやり方である(脆弱性になりうる)ならどのようにしてViewの部分的な共通化を行えばよいのでしょうか。それとも、共通化を行う方法はないのでしょうか?
一番簡便な方法は、$viewが英数字のみで構成されていることを確認することです。しかし、これでまったく問題がないとは限らず、同じディレクトリ内に、includeで読まれるとまずいものが入っている場合も考える必要があります。
より安全な方法として、$viewとしてとり得る文字列を配列等に列挙して、その配列に含まれるかどうかをチェックする(ホワイトリスト検査)があります。
あるいは、名前のファイル名を渡さずに、1, 2, 3等の番号で渡し、プログラム内で実際のファイル名に置き換える方法がもっとも安全かと思います。
CodeIgniterでの望ましい作法は、私は知らないので上記はあくまで一般的なお話です。
投稿2018/12/15 07:26
総合スコア11705
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/12/15 08:11