質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

Q&A

解決済

2回答

3114閲覧

CSRF対策:POSTでtokenを送信し、filter_input に入れると消えてしまう

wakita_minaho

総合スコア9

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

0グッド

1クリップ

投稿2020/04/20 03:04

前提・実現したいこと

CSRF対策にトークンを使おうと考えています。
POSTでtokenを送信し、filter_input に入れると消えてしまうのですが、どのように書き換えれば、POSTとSESSIONのtokenがいっちするようになるのでしょうか。

該当のソースコード

  • token1.php
<?php session_start(); //tokenを用意 if(!isset($_SESSION['token'])) { $_SESSION['token'] = uniqid('', true); echo '$_SESSION token'."<br />". $_SESSION['token']; } // トークンを代入 $token = $_SESSION['token']; echo '$token'."<br />".$token ?> <!DOCTYPE html> <html> <head> </head> <body> <form action= 'token2.php' method = post> <input type="hidden" name="token" value="<?php echo $token; ?>"> <input type="submit" value="送信する"> </form> </body> </html>
  • token2.php
<?php session_start(); //post token の受け取り $token = filter_input(INPUT_POST, $_POST['token']); echo '$token'."<br />".$token; echo "<br />"; //session token と post token が一致しているかの確認 if ($token === $_SESSION['token']) { //一致の表示 echo 'token が一致しました。'; } else{ //不一致の表示 echo 'token が不一致です。'; }

発生している問題・エラーメッセージ

  • token1.phpの結果

$token
//tokenの表示

  • token2.phpの結果

$token
token が不一致です。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

使い方が間違ってます。

filter_input

投稿2020/04/20 03:09

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/04/20 03:11

token の作り方も暗号学的に安全ではありません。
wakita_minaho

2020/04/20 04:53

上記のURLを読んで考えた結果です。実際、うまくいっていないところを見ると、間違った考えだと思うのですが、具体的に誤っているところが分かりません。もう少し詳しく教えていただけますでしょうか。 基本の型は、filter_input(送信方法, filterをかけたい値[,フィルタ])で、 フィルタがない場合は、デフォルトのフィルターがかかる。さらに、オプションもつけてない場合、何もフィルタがかからないことになるという理解であっておりますか。 でしたら、token2.phpの$tokenにはPOST['token']が入っているのではないかと考えています。 また、tokenの作り方についてですが、opensslを理解していないので、とりあえずの値としてuniquidとしております。
退会済みユーザー

退会済みユーザー

2020/04/20 07:14

デバッグの初手は、「変数に何が入っているか確認」することです。 初学者でもデバッグ環境を作ることをおすすめしますが、適当に出力してしまって確認しても良いです。 $token に何が入っているか?を確認した後、 filter_input(INPUT_POST, $_POST['token']) が意図した内容になっているか確認すると良いです。 マニュアルのサンプルも気がつくための参考になると思います。 > tokenの作り方についてですが、opensslを理解していないので、とりあえずの値としてuniquidとしております。 token の作り方は名言をリンクしておきます。 https://twitter.com/ockeghem/status/1215069575210946561 よほどのことがない限り、うるさい人々を黙らせることができます!
wakita_minaho

2020/04/22 03:23

filter_input(INPUT_POST, 'token') でPOSTしたtokenをそのまま持ってくることができるのですね!理解しました。ありがとうございます。 デバッグ環境あると1つずつ値の確認ができてやりやすかったです。URLの方も読みました。ありがとうございます。
guest

0

直接の回答はte2jiさんからあるとおりですが、それらの問題を解決したとしても、トークンによるチェックを回避できる問題があります。
参考記事として、以下をお読みください。

teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由

投稿2020/04/20 05:20

ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

wakita_minaho

2020/04/22 04:03

全文拝読して、チェックの部分は、if (!hash_equals($token, $_SESSION['token']) || empty($token)){}にしようと思いました。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問