質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

エスケープ処理

エスケープ処理とは、一連の文字や一文字に対して、一定の規則に従って別の意味を適用する処理過程です。

Q&A

解決済

4回答

556閲覧

ユーザーがPOSTしたURLリンクを安全に表示する方法がわかりません。

yayak

総合スコア66

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

エスケープ処理

エスケープ処理とは、一連の文字や一文字に対して、一定の規則に従って別の意味を適用する処理過程です。

0グッド

3クリップ

投稿2019/10/17 06:46

編集2019/10/17 07:39

ユーザーが掲示板などにURLを投稿した際、URLに使用できない文字を削除するなどして、安全な状態に整形してからWEB上に表示したいと考えております。

===追記===

ユーザーが投稿したURLは、リンクするために使用します。

========

以前はWordpressを使っていたので、Wordpressのesc_url()という関数を使用していました。

esc_url()という関数にURLの文字列を通すと、URLに使用できない文字などを一括で削除してくれて非常に便利だったのですが、今回はWordpressを使用せずに生phpでサイトを作ろうと思っているため、esc_url()関数を使用することができません。

POSTされてきたURLを安全にWEB上に表示するため、一般的にどのような方法が使われているのかわからず、この度質問してみました。

初歩的な質問で大変恥ずかしいのですが、ご存知の方がいらっしゃいましたら、ご教授いただけましたら幸いです。

何卒、宜しくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2019/10/17 07:37

タイトルと目的が合ってないように見受けられますのでタイトルを調整されたほうが良いかと思います
yayak

2019/10/17 07:40

アドバイスいただき有難うございます。 修正いたしました><
guest

回答4

0

ベストアンサー

単に表示するだけであればhtmlspecialcharsでHTMLエスケープすればよいですが、追記で示されたようにA要素等を用いてリンクの形にする場合は、スキーム(プロトコル)の確認は必須です。
通常は、前方一致で、http: か https: で始まっていることを確認すればよいと思います。esc_urlはtelnetやgopherなどもデフォルトで許容していますが、通常これらは不要かと思います。
スキームのチェックをしていないと、以下のようなリンクが作られてしまい、クロスサイトスクリプティング脆弱性になります。

HTML

1<a href="javascript:alert(1)">外部へのリンク</a>

上記の例では、リンクを選択するとJavaScriptとしてalert()関数が実行します。

したがって手順としては下記の通りとなります。

  • まずURLが http: または https: で始まっていることを確認する
  • 前記検査がOKならば、URL全体をhtmlspecialcharsでエスケープする
  • URLをhrefなどの属性値として表示する場合はダブルクォートで囲むことを忘れないこと

投稿2019/10/17 09:31

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yayak

2019/10/18 02:49 編集

まさか、ockeghem様にご回答いただけるとは思っておらず、本当に感謝しかございません。 ものすごく勉強になりました。実践してみようと思います。 有難うございます。心より感謝申し上げます。
guest

0

WordPress のディレクトリ内で、

grep -r "function esc_url(" ./

で検索すると、定義部分が見つかります。
同じように実装すればよろしいのではないかと思います。

php

1 2/** 3 * Checks and cleans a URL. 4 * 5 * A number of characters are removed from the URL. If the URL is for displaying 6 * (the default behaviour) ampersands are also replaced. The {@see 'clean_url'} filter 7 * is applied to the returned cleaned URL. 8 * 9 * @since 2.8.0 10 * 11 * @param string $url The URL to be cleaned. 12 * @param array $protocols Optional. An array of acceptable protocols. 13 * Defaults to return value of wp_allowed_protocols() 14 * @param string $_context Private. Use esc_url_raw() for database usage. 15 * @return string The cleaned $url after the {@see 'clean_url'} filter is applied. 16 */ 17function esc_url( $url, $protocols = null, $_context = 'display' ) { 18 $original_url = $url; 19 20 if ( '' == $url ) { 21 return $url; 22 } 23 24 $url = str_replace( ' ', '%20', $url ); 25 $url = preg_replace( '|[^a-z0-9-~+_.?#=!&;,/:%@$\|*\'()[]\x80-\xff]|i', '', $url ); 26 27 if ( '' === $url ) { 28 return $url; 29 } 30 31 if ( 0 !== stripos( $url, 'mailto:' ) ) { 32 $strip = array( '%0d', '%0a', '%0D', '%0A' ); 33 $url = _deep_replace( $strip, $url ); 34 } 35 36 $url = str_replace( ';//', '://', $url ); 37 /* If the URL doesn't appear to contain a scheme, we 38 * presume it needs http:// prepended (unless a relative 39 * link starting with /, # or ? or a php file). 40 */ 41 if ( strpos( $url, ':' ) === false && ! in_array( $url[0], array( '/', '#', '?' ) ) && 42 ! preg_match( '/^[a-z0-9-]+?.php/i', $url ) ) { 43 $url = 'http://' . $url; 44 } 45 46 // Replace ampersands and single quotes only when displaying. 47 if ( 'display' == $_context ) { 48 $url = wp_kses_normalize_entities( $url ); 49 $url = str_replace( '&amp;', '&#038;', $url ); 50 $url = str_replace( "'", '&#039;', $url ); 51 } 52 53 if ( ( false !== strpos( $url, '[' ) ) || ( false !== strpos( $url, ']' ) ) ) { 54 55 $parsed = wp_parse_url( $url ); 56 $front = ''; 57 58 if ( isset( $parsed['scheme'] ) ) { 59 $front .= $parsed['scheme'] . '://'; 60 } elseif ( '/' === $url[0] ) { 61 $front .= '//'; 62 } 63 64 if ( isset( $parsed['user'] ) ) { 65 $front .= $parsed['user']; 66 } 67 68 if ( isset( $parsed['pass'] ) ) { 69 $front .= ':' . $parsed['pass']; 70 } 71 72 if ( isset( $parsed['user'] ) || isset( $parsed['pass'] ) ) { 73 $front .= '@'; 74 } 75 76 if ( isset( $parsed['host'] ) ) { 77 $front .= $parsed['host']; 78 } 79 80 if ( isset( $parsed['port'] ) ) { 81 $front .= ':' . $parsed['port']; 82 } 83 84 $end_dirty = str_replace( $front, '', $url ); 85 $end_clean = str_replace( array( '[', ']' ), array( '%5B', '%5D' ), $end_dirty ); 86 $url = str_replace( $end_dirty, $end_clean, $url ); 87 88 } 89 90 if ( '/' === $url[0] ) { 91 $good_protocol_url = $url; 92 } else { 93 if ( ! is_array( $protocols ) ) { 94 $protocols = wp_allowed_protocols(); 95 } 96 $good_protocol_url = wp_kses_bad_protocol( $url, $protocols ); 97 if ( strtolower( $good_protocol_url ) != strtolower( $url ) ) { 98 return ''; 99 } 100 }

投稿2019/10/17 06:54

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yayak

2019/10/17 07:02

有難うございます! おっしゃていることを以前にやろうとして、wp_allowed_protocols()など、esc_url()の関数の中身にたくさんのWordpress独自の関数がでてきているため、断念してしまった経緯がございます。 皆様は、どのような方法でURLを安全に表示しているのかと思い質問させていただいたのですが、URLのエスケープは難しいのですね><
退会済みユーザー

退会済みユーザー

2019/10/17 07:10

それが面倒なら、wordpress から wp_includes/format.php をとり出してrequireしちゃえばいいんじゃないですか?
yayak

2019/10/17 07:42

有難うございます! format.phpが、その他のファイルの関数もたくさん使用しており、Wordpressの関数をまとめたファイルの大半を取り込むことになりそうなので、もう少し頑張ってみて、最終手段としてやってみようと思います><
guest

0

補足的なところを別途回答します。

基本的にユーザーの入力情報は加工してはならず、表示時は登録した通りに出すべきです。
なので対策をするのであれば「表示時に削除する」のではなく「登録時にバリデーションをする」にとどめてください。
URLの形式として正しいかのチェックを行えば「使えない文字列」が登録されるのを防ぐことができますし、パラメータ(クエリストリング)を不可としたチェックをすれば、パラメータ付与により何かしらの処理を実行させないようにすることも可能です。

XSS対策でHTMLエスケープはすべきですが、画面上は登録した通りに表示させられるので可です。

ということで、おそらくシステム的にできるのはここまでと考えられます。

あとは「安全である」基準ですね。サイトとしてどこまでを許容するのか。ここはブラックリスト方式になってしまうかもしれませんが…。
それなら「URLとして正しい」のみで受け入れても良いかと思います。あとはパラメータ付加を許容するかどうかですね。

投稿2019/10/17 07:48

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yayak

2019/10/17 07:54

mts先生、いつも本当に有難うございます。 自身のできなさ加減に失望しそうなとき、mts先生の回答は参考になるだけなくて、頑張る力をくれます。 本当に、有難うございます。
m.ts10806

2019/10/17 07:59

参考になったようで何よりです。そのように評価してもらえるとアドバイスした甲斐があったと嬉しくなりますね。 誰だって始めは何も分からないとこらからきています。私の初学者のときと比べればアドバイスを得られる機会も人も多いので、それだけ成長に繋がりやすいと言えます。 考え方を学ぼうとする姿勢があるので、成長は見込めると思っています。過信はよくないですが失望するのもよくありません。 ※細かいですがユーザー名は要約しないほうが無用なトラブルを避けられます
yayak

2019/10/18 02:45

m.ts10806先生、かしこまりました。 本当に、有難うございます。 もっともっと挑戦と勉強をします!
guest

0

POSTされてきたURLを安全にWEB上に表示するため、一般的にどのような方法が使われているのかわからず

単に文字列として表示するだけなら、どんな文字列を「URL」に混ぜようと、表示したこと自体でなにか起きることはありません。

逆に、リンク先の安全性は、チェックすることはほぼできないと考えて間違いありません(著名なサイトの広告に、「あなたのパソコンは危険にさらされています」系の広告が混入していたことがありました)。

つまり、一般的な対応としては、

  • URL自体をNGワードにして完全排除
  • URLを単なる文字列として表示するだけ

のどちらかで十分です。

投稿2019/10/17 06:49

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yayak

2019/10/17 06:56 編集

質問の仕方がよくなかったです、すみません>< ユーザーがプロフィールを登録できるサイトなのですが、そこにユーザーが自身のサイトのURLを登録できるようにしたいのですが、万一悪意のあるユーザーが悪意のあるコードが紛れたURLを登録しても、それを無効化できるような方法を探しておりました。 現状、それは難しいということなのですね。。
maisumakun

2019/10/17 06:58

「悪意のある」の意味にもよりますが、飛び先が(ユーザーの設定どおりだけれど)不適切なものが置かれているページになるのを、コードだけで防ぐことは現実的に無理です。
m.ts10806

2019/10/17 07:39 編集

結局は一般的な対応と同じで、規約への明示と監視対応ですね。 URLとして正しい以上は一度受け入れるしかありません(できてもそのURLの先が存在するかどうかくらい。その先の情報を解析となると別のルールに抵触する可能性もないわけではないのです)
yayak

2019/10/17 07:42

なるほどです。。地道に頑張ってみます!有難うございます<(_ _)>
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問