teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップPHPに関する質問
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

7回答

1590閲覧

掲示板でタグを使用させない理由は?

axs
axs

総合スコア29

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

0グッド

1クリップ

投稿2019/09/13 10:13

0

1

最近、タグが使える掲示板を見かけなくなりました。

悪意ある書き込みを回避する為だとは思いますが、防御する手段は無いのでしょうか?

javascriptで何か書いたとしても他人に影響を与えるようには思えませんし、PHPなら<?タグが入っていないかをチェックすればいいように思います。

あと考えられるのは、わざとエラーを起こしてファイル名等を探るくらいでしょうか。

この辺は優秀なプログラマーの方なら回避できそうな気がするんですがいかがでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答7

0

この辺は優秀なプログラマーの方なら回避できそうな気がするんですがいかがでしょうか?

優秀なプログラマーの方なら、それも回避できそうな気がするんですがいかがでしょうか?

投稿2019/09/13 10:21

yoorwm
yoorwm

総合スコア1305

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 10:26

ご回答ありがとうございます。 質問が曖昧でしたね。 最終的に何が聞きたいのか、追記しておきます。
axs
axs

2019/09/13 10:30

質問に追記できるかと思ったのですが、ちょっとやり方がわからなかったので、こちらに記入します。 回避する方法があるのなら、そういった掲示板を作ってみたいと思っております。 回避がかなり厳しいのか、初心者でもできるものなら、どういったポイントがあるのか、簡単なアドバイスを頂きたいです。
yoorwm
yoorwm

2019/09/13 10:46

具体的な話はm6uさんが書かれているような事ですね。 違う話ですが、~暗号にセキュリティホールが~などという話があったり、CPUでも脆弱性が~というニュースを聞く事があるでしょう? コッチでも同じ事です。
axs
axs

2019/09/13 11:18

なるほど。 たしかにそうですね。
guest

0

ベストアンサー

何が来るかわからないものを拒絶する対応をするより、
来てもいいものを許可する対応の方が圧倒的に楽です。

いくら優秀なプログラマーといえど、全ての攻撃手段を想定できる人はいないでしょう。
「すべての攻撃に対応した!安心して使っていいぞ」
と言われても穴を見つけるが増えるだけだし、
そもそも上には上がいるってものです。

むしろJavaScriptやPHPを使用できなくするのが最大の防御でしょう。
その防御を崩して対応する意味はほぼほぼないです。

javascriptで何か書いたとしても他人に影響を与えるようには思えませんし、PHPなら<?タグが入っていないかをチェックすればいいように思います。
あと考えられるのは、わざとエラーを起こしてファイル名等を探るくらいでしょうか。

質問者様が考慮できていないだけで、攻撃手段はかなりあります。
タグチェックぐらい、優秀なプログラマーなら回避するでしょうし、
ファイル名を探るどころかもっとダメなことをしようとすれば出来てしまう可能性があります。

投稿2019/09/13 10:29

dice142
dice142

総合スコア5158

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/09/13 10:34

> 何が来るかわからないものを拒絶する対応をするより、 > 来てもいいものを許可する対応の方が圧倒的に楽です。 ホワイトリスト方式に尽きる気がしますね。
dice142
dice142

2019/09/13 10:39

何が来るかわからないのにブラックリスト方式だと、いろんなもんが吹っ飛びますね。 やるならホワイトリスト方式ですし、必要ないなら完全シャットアウト。
axs
axs

2019/09/13 11:10

ありがとうございます。 考え方として大変参考になりました。
退会済みユーザー

退会済みユーザー

2019/09/13 15:57

m6u ホワイトリスト方式のHTML許可をつかってるやつでレイアウトぶっ壊したことあるw
退会済みユーザー

退会済みユーザー

2019/09/13 21:46

レイアウトは、結構簡単に壊せるw https://teratail.com/questions/73709 掲示板でタグを使用させない理由は「リスク管理と対費用効果」だろうねぇ。。。
退会済みユーザー

退会済みユーザー

2019/09/14 01:59

練乳くらい甘いホワイトリスト方式だったのかなぁ(汗
退会済みユーザー

退会済みユーザー

2019/09/14 03:27

タグは対応したけど属性まで対応してなかったから甘かったなwww
axs
axs

2019/09/16 09:42

お返事遅くなりました。 大変勉強になりました。 ありがとうございました。
guest

0

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
にある資料を読んでみよう、読めばわかる。

投稿2019/09/13 10:24

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 11:07

ありがとうございます。 ボリュームがあるので、じっくり時間をかけて読んでみたいと思います。
guest

0

全体的な事は
安全なwebアプリケーションの作り方
とか
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版

あたりをざっと読むだけでも読んで基礎的な理解を得てください。

javascriptで何か書いたとしても他人に影響を与えるようには思えませんし

18禁サイトやら詐欺サイトにリダイレクトし放題になるだけでも大分困ったことになりますね。

この辺は優秀なプログラマーの方なら回避できそうな気がするんですがいかがでしょうか?

teratailでもそうですが、Markdownなどの非htmlな言語で入力させて表示するタイミングで安全なhtmlを生成するとかはよくある実装だと思いますよ。

投稿2019/09/13 10:27

tanat
tanat

総合スコア18713

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 11:09

ありがとうございます。 じっくりと読んでみたいと思います。 そんな使い方もあるんですね。 参考になりました。
guest

0

javascriptで何か書いたとしても他人に影響を与えるようには思えませんし

Javascriptが使えれば夢が広がるよ!

その掲示板に勝手に誰かの悪口を投稿させたり
DOM操作ができてコンテンツを自由に書換できたり
偽のログイン画面を出してID・PASSを盗んだり
偽サイトに転送できたり
etc...

投稿2019/09/13 10:38

Y.H.
Y.H.

総合スコア7914

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 11:13

ありがとうございます。 なるほど、そんなこともできるのですね。
guest

0

今年無限アラート事件が話題になったばかり…。

大昔は掲示板でhtml覚えたけどさすがに現代ではすべて不許可。

投稿2019/09/13 11:22

kawax
kawax

総合スコア10377

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 15:55

ありがとうございます。 そんなことが合ったんですね!
guest

0

codepenとかタグがタグとして機能しないと意味がないサイトでは普通につかえますよね
そうでないサイトはタグをタグとして埋め込まなくてもマークアップで手軽に処理します

投稿2019/09/13 10:48

yambejp
yambejp

総合スコア114814

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

axs
axs

2019/09/13 11:14

ありがとうございます。 こんなサイトもあるんですね。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップPHPに関する質問

掲示板でタグを使用させない理由は?