Q&A
なにか問題があるような点はどこからきた懸念点でしょうか。出典明示してください
前提・実現したいこと
画像アップロード機能を実装しています。調べているとセキュリティ周りを組むのが大変そうで腰が引けたのですが、ふと次の方法でいいのではないかと思いました。問題やセキュリティリスクがないか知りたいです。
###考えた方法
■保存フロー
- JSで画像をbase64にし、
- AJAXで送り、
- 送られたbase64のテキストについて以下検証し
➀タグがあるか?
➁画像かどうか?
4. base64のテキストのままデータベースに保存する
■表示フロー
- データベースにあるbase64のテキストを取得
- htmlspecialchars()をかけて出力
###ソースコード
上の流れなら、通常のコメントを受け付けるのと同じ検証でいいですよね?
ただのテキストの検証なので、唯一やるべき検証である3の➀と➁は、次のコードで済むと思います。
そのように思ったのですが、base64のテキストで送るこの方法には、何か問題あるのでしょうか?
PHP
1<?php 2// AJAXでbase64化された画像を受け取る 3$base64 = $_POST['base64'] ?? ''; // "data:image/jpeg;base64,/9j/ABCDEFG" など 4 5// ➀と➁が問題あれば終了 6if( isHtml($base64) || ! isImg($base64) ) { 7 echo '問題が発生しました'; 8}else{ 9 $sql = "INSERT INTO images (ID, base64, created) VALUES (:base64, now())"; 10 $stmt = $dbh->prepare($sql); 11 $params = array(':base64' => $base64); 12 $stmt->execute($params); 13 echo '登録完了しました'; 14} 15 16// ➀タグがあるか? 17function isHtml( $base64 ) { 18 $result = false; 19 if ( preg_match("/<(\"[^\"]*\"|'[^']*'|[^'\">])*>/", $base64) ) $result = true; 20 return $result; 21} 22 23// ➁画像かどうか? 24function isImg( $v ){ 25 $result = false; 26 if ( preg_match("#^data:image/jpeg;base64#", $v) ) $result = true; 27 if ( preg_match("#^data:image/jpg;base64#", $v) ) $result = true; 28 if ( preg_match("#^data:image/png;base64#", $v) ) $result = true; 29 return $result; 30}
回答3件
0
ベストアンサー
// ➁画像かどうか?
このチェックでは不適切なものを弾ききれません。data:で送ってくるContent-typeはクライアント側が設定するものですので、攻撃者が送信する場合はいくらでも詐称可能です。
投稿2020/06/08 08:13
総合スコア145184
それこそ「精神的ブラクラ」(コンピューターのシステム上は至って正常なファイルだけど、見る人間の精神にダメージを与えるような画像)なんてものもありますので、完璧というのは困難です。
ありがとうございます。画像チェックはもっと考えないといけないですね。
0
既に解決されたようですが、追加で。
この手の方法は使われてなくもないようですが、あまり見かけない理由の一つは、ブラウザおよびサーバーり両方で画像がメモリ上で処理されるので、あまり大きな画像(または他のアップロードデータ)は使いにくいというのがあると思います。$_FILESだと、アップロードデータはファイルとして扱われ、それがセキュリティ上の問題を生みやすい原因の一つになっています。
小さな画像であれば、base64でデータサイスが1.3倍程度になるオーバーヘッドを除けば、あまり問題にはならないかと。
投稿2020/06/08 22:41
総合スコア11701
ありがとうございます。base64の方のそういった事情を知りたかったです。確かにLazyLoadなどができなそうですね。
ファイルの方ですが以下に便利なライブラリがございまして、こちらネットに問題点もなかったようですが、専門家の方からしますとこういったライブラリはいかがでしょうか。
使い方参考サイトにあるように「$handle = new Upload($_FILES['image_file']);」だけでセキュリティをばっちりチェックしてくれるようです。
「class.upload.php」
(使い方参考サイト)
http://webtech-walker.com/archive/2007/06/11210929.html
(Github)
https://github.com/verot/class.upload.php/blob/master/src/class.upload.php
そういった既存のライブラリのセキュリティチェックはお仕事なので、こちらでの回答は控えたいと思います
そうですよね、専門家なら簡単かと思いましたが、専門家だからこそ安易な回答をしてはいけませんでしたね。大変失礼いたしました。YouTubeの方で期待しています(笑)
0
普通にファイルをsubmitして、ファイルはファイルとして保持しておけば
大した手間ではありません。
ただimgで参照されたときになんらかの不正な動きをする可能性は否定できません。
(その昔そういう攻撃があった記憶があります)
投稿2020/06/08 07:51
総合スコア114843
いまはその辺りブラウザ側である程度セキュアな処理がされている
んじゃないでしょうか?
どうしても怖い場合は、サーバー側で一度画像をフルカラーに展開して
保存し直すという手もないことはないでしょう。
(画像によっては再保存時に劣化します)
ただそこまで作りこんでも運用上の費用対効果があるかどうかは微妙です。
ありがとうございます。ご意見参考にさせて頂きます。
しかしながらやや抽象的で「普通にやれば大丈夫」「ブラウザ側がうまくやってくれる」などと言われてしまいますと、さすがプロは違うなという印象は受けますが…
このたびの質問には、考えた方法に問題やセキュリティリスクがないか知りたいという内容でございますので、できればそのあたりについてのご意見がございましたらコメント頂けるとありがたく存じます。
仮に考えた方法にセキュリティリスクがないとしても、$_POSTで受け取ったテキストを簡易な検証を通してbase64で保存するより、$_FILESで受け取ったものをあれこれ大変な検証してでもurlを保存した方が、データベースに保存される量が少なくてすむ(base64の文字数とただのurlの文字数)という点で、考えた方法には問題があったりしそうにも思えましたので。
たとえばその「普通にやる」というのは、具体的にはどういった流れでしょうか?こちら(https://qiita.com/ichimura/items/0c4e5d2dd6fe8b55018e)ではかなり大変な検証がされていますが、これらの検証がある程度省略できるような方法なのですか?
逆にbase64だなんだはどうでもいいです。
ポイントは受け取ったファイルをシステムが参照したり
ユーザーのブラウザ上で表示したときに致命的なセキュリティ問題を
起こすか否かだけ気にしてください。
たとえばウィルスやトロイの木馬だってファイルのアップロード時には
紛れ込む可能性はあるわけです
画像が大変=なぜ画像じゃなければ(画像と比べると)簡単なの?と逆の考え方した方がスッと思いつきやすいような。
あなたの回答
tips
プレビュー
