質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.42%

  • PHP

    21814questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

csrf対策とsession_name()の変更について

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 98

pegy

score 72

PHPでCSRFを対策するために以下のようなコードを書いております。

<?php if($_POST['posted']!="yes"):?>
  <?php session_name('hoge');?>
  <?php session_start();?>
  <?php 
  $bytes = openssl_random_pseudo_bytes(16);
  $_SESSION['token']=bin2hex($bytes);
  ?>

  <form class="" action="" method="post">
    <input type="hidden" name="posted" value="yes">
    <input type="hidden" name="csrf" value="<?php echo $_SESSION['token'];?>">

  </form>

<?php endif;?>


<?php 
  if($_POST['posted']=="yes"){
   session_start();
    $_POST['csrf']==$_SESSION['token']//false
  }
?>

CSRF対策とは関連がなく、念のためにセキュリティ上session_name()をPHPSSIDから変更するために
<?php session_name('hoge');?>を入れているのですが、このコードを入れてしまうことで
$_POST['csrf']==$_SESSION['token']がfalseとなってしまいます。具体的には新たなトークンが生成されてしまい、不一致となるため、csrf対策とsession_name()の変更が両立いたしません。
*session_name()を変更することはセッションハイジャックに対して、重要な効果は期待されないと認識しておりますが、念のために変更したいと言う意図でございます。

原因と対応策について、アドバイスをいただけますでしょうか?
よろしくお願い申し上げます。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    2019/01/11 08:33

    前のセッション取得前にセッションの再作成すると、前のセッションは終了済み。

    複数のページで別々のセッション名から取得/設定してる場合読み込めません(それこそハイジャック)

    キャンセル

  • pegy

    2019/01/11 21:52

    なるほど、理解いたしました。
    コメントいただき、ありがとうございます。

    キャンセル

回答 1

checkベストアンサー

+2

現在は、$_POST['posted']!="yes" の場合のみsession_name()関数が呼び出しされていますが、session_name()はアプリケーション内で一貫しておく必要があります。

なので、session_name()関数の呼び出し位置をプログラムの先頭(if文の外)に移動すれば動くのではないですか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/01/11 21:17

    ockeghem様
    コメントありがとうございます。
    確かに動作をさせることができました。if文の外に置いた場合、POSTされた場合でもされない場合でも
    常に実行されるためのでランディングした時もPOSTされた時も実行されると言うことかと思います。
    確かに一貫して同じsession_name()である必要があることは理解できるのですが、session_name()が新たなセッション名をブラウザ側に渡すのであれば、同じsession_name("hoge")を重ねて渡す(ランディング時もPOST時も)ことに若干の違和感を感じるのですが、session_name()の仕様自体をもう少し調べてみます。
    ありがとうございました!

    キャンセル

  • 2019/01/11 22:31

    よかったですね。残る疑問については、session_name()の仕様を調べると言うよりも、セッションの仕組み自体を理解する方が早道のような気がします。

    キャンセル

同じタグがついた質問を見る

  • PHP

    21814questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。