質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

Q&A

解決済

2回答

3921閲覧

phpのhtmlspecialcharsの安全性について

landmine

総合スコア55

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

1グッド

1クリップ

投稿2015/11/19 09:43

###疑問点
ふと思ったことなのですがphpのhtmlspecialchars();は安全なのでしょうか?
使用するときは次のようなプログラムを作成しています。

php

1$input = (ユーザーからの入力、htmlのフォームからの送信など) 2$input = htmlspecialchars($input, ENT_QUOTES); 3echo $input;

このようにすれば、

javascript

1<script>alert("アラート");</script>

などのようなものではアラートが出ず、そのまま文字が表示されると思います。
htmlspecialchars関数の仕組みなどが理解できておらず、「<」などのような記号を別の物に変換しておくといった感じで捉えているのですが、本当にこれだけでクロスサイトスクリプトというものは防げるのでしょうか??絶対に安全とは言えないのかと思いますが、これだけでは不十分でしょうか?

仕組みや安全性、その他注意するべき点などがあれば教えてほしいです。

ikuwow👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

文字コードがShift-jisの場合は脆弱性があったと思いますが(今は修正されているかもしれません)。
例えばUTF-8の場合で今回の様なコードであれば
「HTMLを出力する際に使用して、HTMLとして評価させない」という本来の目的に関していえば安全になります。

関係する質問
https://teratail.com/questions/3075

セキュリティについてはIPA 安全なwebサイトの作り方
を一度熟読されることをお勧めします。

投稿2015/11/19 09:55

編集2015/11/19 09:58
tanat

総合スコア18709

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

landmine

2015/11/19 10:03

ありがとうございます! 今後のためにもセキュリティに関しては勉強したほうが良さそうですね。
guest

0

目的としているWebサイトをどのように作っていくのかにもよりますが、XSSに対してhtmlspecialchars関数が安全を提供するかといえば、そうではないと思います。

今、CakePHPで作られたECサイトのメンテナンス(別の会社が作成したものを保守として改修を入れています)しています。
このサイトは、複数画面を遷移していくため、途中で入力された文字列をhiddenタグに出力するというちょっと危ない仕様で作成されているため、入力された文字列をしっかりサニタイズして出力しないとご指摘のようにscriptタグで囲まれた部分が動作してしまいます。
そのため、「javascript」、「vbscript」、「@import」などXSSの攻撃で利用されると考えられるキーワードを出力データから削除するサニタイズ処理を個別に作成して対処を行いました。

まあ、こういう例もあるということです。

投稿2015/11/19 10:07

KatsumiTanaka

総合スコア924

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

landmine

2015/11/19 10:09

やはり安全とは言い切れませんよね。 色々な場合を考えてどのようにしておけば良いか考えてみます。参考になりました!
KatsumiTanaka

2015/11/19 10:19

商用のECサイトなので、ペネトレーションテスト(サイトの侵入テスト)を専門でやってる会社の診断も受けていますが、毎回想像もしていなかった手法で攻撃してくるので、とても勉強になりました。 もし、仕事でインターネット向けのサイト構築をされているのであれば、そのようなテストも検討してみるとよいと思います。
otn

2015/11/19 13:29

> 途中で入力された文字列をhiddenタグに出力するというちょっと危ない仕様で作成されているため、 hiddenタグに出力するときにhtmlspecialcharsすればいいだけでは?
KatsumiTanaka

2015/11/19 23:29

ペネトレーションテストを実施してもらった会社との契約で、詳細なことは記述できませんが、htmlspecialcharsでサニタイズしたのでは攻撃が成立してしまうような攻撃文字列を入力してきました。 ペネトレーションテストの合格が、PCIDSSを取得するうえでの必須条件だそうで、いろいろと検討しましたが、結局スクリプトを定義する文字列を選択して消去するしか対応策が見いだせませんでした。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問