PHP掲示板でCSRFをしたときに書き込めなくなってしまいました

前提・実現したいこと

PHP(CakePHP)で掲示板を作っています。

発生している問題・エラーメッセージ

CSRF対策でトークンを生成して確認する機能を実装すると、普通のメッセージも書き込めなくなってしまいました。

該当のソースコード

PHP
1<?php
2
3$dataFile = 'bbs.dat';
4
5
6session_start();
7
8
9function setToken() {
10    $token = sha1(uniqid(mt_rand(), true));
11    $_SESSION['token'] = $token;
12}
13
14
15function checkToken() {
16    if (($_SESSION['token'] == "") or ($_SESSION['token'] != $POST['token'])) {
17        echo "攻撃しないでください！";
18        echo "悪用しないでください！";
19        exit;
20    } else {
21    }
22}
23
24
25
26function h($s) {
27    return htmlspecialchars($s, ENT_QUOTES, 'UTF-8');
28}
29
30if ($_SERVER['REQUEST_METHOD'] == 'POST' &&
31    isset($_POST['message']) &&
32    isset($_POST['user'])) {
33        
34    checkToken();
35    
36    $message = trim($_POST['message']);
37    $user = trim($_POST['user']);
38    
39    
40    if ($message !== '') {
41        
42        $user = ($user === '') ? '匿名主義者' : $user;
43        
44        $message = str_replace("\t", ' ', $message);
45        $user = str_replace("\t", ' ', $user);
46        
47        $postedAt = date('Y-m-d H:i:s');
48        
49        $newData = $message . "\t" . $user . "\t" . $postedAt . "\n";
50        
51        $fp = fopen($dataFile, "a");
52        fwrite($fp, $newData);
53        fclose($fp);
54    } else {
55        setToken();
56    }
57}
58
59$posts = file($dataFile, FILE_IGNORE_NEW_LINES);
60
61$posts = array_reverse($posts);
62
63?>
64
65
66
67
68<!DOCTYPE html>
69<html lang="ja">
70
71<head>
72    <meta carset="utf8">
73    <title>Just Test</title>
74</head>
75
76<body>
77    <body background="https://media.giphy.com/media/Q9aBxHn9fTqKs/giphy.gif">
78        
79    <font color="white">
80    <h1>秘密のチャットルーム</h1>
81    <form action="" method="post">
82        ユーザー名（無くても可）: <input type="text" name="user"><br/>
83        コメント:<br/> <!-- <input type="text" name="message"> --><textarea name="message" rows="4" cols="50"></textarea>
84        <input type="submit" value="投稿">
85        <input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>">　
86    </form>
87    <h2>投稿一覧（<?php echo count($posts); ?>件）</h2>
88    <ul>
89        <?php if (count($posts)) : ?>
90            <?php foreach ($posts as $post) : ?>
91            <?php list($message, $user, $postedAt) = explode("\t", $post); ?>
92                <li><?php echo h($message); ?> (<?php echo h($user); ?>) - <?php echo h($postedAt); ?></li>
93            <?php endforeach; ?>
94        <?php else : ?>
95            <li>投稿はまだない！貴方が初めての投稿者！</li>
96        <?php endif; ?>
97    </ul>
98    </font>
99</body>

m.ts10806

2019/10/20 23:06

CakePHPを導入されているはずがCakePHPを使っていないのはなぜでしょう。わざわざdatにデータ溜めるのもなぜかよくわかりません。

otn

2019/10/21 10:18

× CSRFをしたときに〇 CSRF対策をしたときに

行動規範の内容に同意します

回答2件

setToken()関数が呼ばれる条件が、メソッドがPOSTで投稿内容が空の場合になっています（現状）が、これは入力フォームの場合なので、メソッドはGETの場合（POST以外）とすべきかと思います。

それとは別に、ずいぶんと古めかしいソースコードですが、何かの記事を参考にしたのでしょうか? これだと、色々間違った方法を勉強することになるので、教材を変えるべきかと思います。

とくにまずいのが以下です。

PHP
1$token = sha1(uniqid(mt_rand(), true));

これは以下のようにすべきです。

PHP
1$token = bin2hex(random_bytes(24));

しかし、もっとよいのはフレームワークのCSRF対策機能を使うことです。
ということで、新しい教材で勉強することをお勧めします。

投稿2019/10/20 23:57

ockeghem

総合スコア11701

ステップ実行でもして条件分岐と変数推移を確認すると、setToken() を通っていない。って結論になると思います。

php の基本を学んだ上でフレームワークは学習したほうが良いと思いますよ。ドキュメントが読めないので。

投稿2019/10/20 23:48

退会済みユーザー

総合スコア0

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！