Q&A
CakePHPを導入されているはずがCakePHPを使っていないのはなぜでしょう。わざわざdatにデータ溜めるのもなぜかよくわかりません。
前提・実現したいこと
PHP(CakePHP)で掲示板を作っています。
発生している問題・エラーメッセージ
CSRF対策でトークンを生成して確認する機能を実装すると、普通のメッセージも書き込めなくなってしまいました。
該当のソースコード
PHP
1<?php 2 3$dataFile = 'bbs.dat'; 4 5 6session_start(); 7 8 9function setToken() { 10 $token = sha1(uniqid(mt_rand(), true)); 11 $_SESSION['token'] = $token; 12} 13 14 15function checkToken() { 16 if (($_SESSION['token'] == "") or ($_SESSION['token'] != $POST['token'])) { 17 echo "攻撃しないでください!"; 18 echo "悪用しないでください!"; 19 exit; 20 } else { 21 } 22} 23 24 25 26function h($s) { 27 return htmlspecialchars($s, ENT_QUOTES, 'UTF-8'); 28} 29 30if ($_SERVER['REQUEST_METHOD'] == 'POST' && 31 isset($_POST['message']) && 32 isset($_POST['user'])) { 33 34 checkToken(); 35 36 $message = trim($_POST['message']); 37 $user = trim($_POST['user']); 38 39 40 if ($message !== '') { 41 42 $user = ($user === '') ? '匿名主義者' : $user; 43 44 $message = str_replace("\t", ' ', $message); 45 $user = str_replace("\t", ' ', $user); 46 47 $postedAt = date('Y-m-d H:i:s'); 48 49 $newData = $message . "\t" . $user . "\t" . $postedAt . "\n"; 50 51 $fp = fopen($dataFile, "a"); 52 fwrite($fp, $newData); 53 fclose($fp); 54 } else { 55 setToken(); 56 } 57} 58 59$posts = file($dataFile, FILE_IGNORE_NEW_LINES); 60 61$posts = array_reverse($posts); 62 63?> 64 65 66 67 68<!DOCTYPE html> 69<html lang="ja"> 70 71<head> 72 <meta carset="utf8"> 73 <title>Just Test</title> 74</head> 75 76<body> 77 <body background="https://media.giphy.com/media/Q9aBxHn9fTqKs/giphy.gif"> 78 79 <font color="white"> 80 <h1>秘密のチャットルーム</h1> 81 <form action="" method="post"> 82 ユーザー名(無くても可): <input type="text" name="user"><br/> 83 コメント:<br/> <!-- <input type="text" name="message"> --><textarea name="message" rows="4" cols="50"></textarea> 84 <input type="submit" value="投稿"> 85 <input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>"> 86 </form> 87 <h2>投稿一覧(<?php echo count($posts); ?>件)</h2> 88 <ul> 89 <?php if (count($posts)) : ?> 90 <?php foreach ($posts as $post) : ?> 91 <?php list($message, $user, $postedAt) = explode("\t", $post); ?> 92 <li><?php echo h($message); ?> (<?php echo h($user); ?>) - <?php echo h($postedAt); ?></li> 93 <?php endforeach; ?> 94 <?php else : ?> 95 <li>投稿はまだない!貴方が初めての投稿者!</li> 96 <?php endif; ?> 97 </ul> 98 </font> 99</body>
× CSRFをしたときに
〇 CSRF対策をしたときに
回答2件
0
setToken()関数が呼ばれる条件が、メソッドがPOSTで投稿内容が空の場合になっています(現状)が、これは入力フォームの場合なので、メソッドはGETの場合(POST以外)とすべきかと思います。
それとは別に、ずいぶんと古めかしいソースコードですが、何かの記事を参考にしたのでしょうか? これだと、色々間違った方法を勉強することになるので、教材を変えるべきかと思います。
とくにまずいのが以下です。
PHP
1$token = sha1(uniqid(mt_rand(), true));
これは以下のようにすべきです。
PHP
1$token = bin2hex(random_bytes(24));
しかし、もっとよいのはフレームワークのCSRF対策機能を使うことです。
ということで、新しい教材で勉強することをお勧めします。
投稿2019/10/20 23:57
総合スコア11705
0
ステップ実行でもして条件分岐と変数推移を確認すると、setToken() を通っていない。って結論になると思います。
php の基本を学んだ上でフレームワークは学習したほうが良いと思いますよ。ドキュメントが読めないので。
投稿2019/10/20 23:48
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
