teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップセキュリティーに関する質問
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

Q&A

2回答

1186閲覧

画像アップロードプラグイン「class.upload.php」は、ファイルの実行権限が選択できないのにセキュリティは平気なのでしょうか?

kikijiji
kikijiji

総合スコア3

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

0グッド

1クリップ

投稿2020/06/08 09:18

0

1

PHPとAJAXで画像アップロード機能を実装しています。

JSでの画像選択は「Fine Uploader」を使い、PHPでデータベースに保存するには「class.upload.php」がよさそうだと思いました。

「Fine Uploader」(デモサイト)
https://fineuploader.com/demos.html

「class.upload.php」(使い方参考サイト)
http://webtech-walker.com/archive/2007/06/11210929.html

「class.upload.php」の方で質問です。

受け取ったファイルの安全性は、使い方参考サイトにある$handle = new Upload($_FILES['image_file']);でチェックされており安心できるかと思いますが、

しかし「ファイルの実行権限をなくす」という機能(chmod()を通す)はなくても大丈夫なのでしょうか?

調べてみますとオプションも以下しかなく「ファイルの実行権限をなくす」という機能がないように思えます。

php
1$handle->file_overwrite     = true;  //ファイル上書き有効
2$handle->file_auto_rename   = false; //ファイル名自動リネーム無効
3$handle->file_src_name_body = $test; //ファイル名指定
4$handle->image_resize       = true;  //ファイルリサイズ有効
5$handle->image_ratio_y      = true;  //ファイル自動比率調整有効(縦)
6$handle->image_x            = 50;    //ファイルサイズ指定(横)
7$handle->image_convert      = 'gif'; //ファイルアップロードタイプ指定

なくても平気なのであれば、それはなぜなのか知りたいです。

ちなみに「ファイルの実行権限をなくす」という機能がなくても平気なのかという懸念は、こちらのページでその機能を使っているために生じた懸念です。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

こんにちは。
ファイルの実行権限についてですが、基本的にはアップロードされたファイルを誰かが実行しない限りは不正なプログラムは動作しません。そのため不正なファイルを送りつけても実行されないと意味がないので、悪意のあるクラッカーはあの手この手を使ってユーザーにプログラムを実行させようとします。
ですので、実行権限がついていても実行しない限りは平気といえば平気です。

ファイルの実行権限の変更に関する機能はPHPに備わっていますので、そちらで対応することが可能です。ライブラリがサポートしていないのであれば、PHPで対応するとよいかと思います。
https://www.php.net/manual/ja/function.chmod.php

php
1<?php
2// 所有者に読み込み、書き込みの権限を与え、その他には読み込みだけ許可する。
3chmod("/somedir/somefile", 0644);

投稿2020/06/09 02:25

shohei_yamasaki
shohei_yamasaki

総合スコア6

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kikijiji
kikijiji

2020/06/09 03:02

こんにちは。初めてのアップロード処理でよくわかっておりませんので丁寧なご説明に嬉しく思います。仰るコードを追記したところ、パーミッションの属性値が無事644に変更されておりました。どうもありがとうございます。これさえしておけばファイルによって何かが実行される懸念はなく、残る懸念は画像のふりをしてJSが仕込まれていたなどだと思うので、出力時にhtmlspecialchars()を書ければ完璧ですね。…でしょうか?
shohei_yamasaki
shohei_yamasaki

2020/06/09 06:36

JavaScriptが実行されることを抑制したいのであればhtmlspecialchars()が有効です。 <?php htmlspecialchars("<script>alert('hello')</script>", ENT_QUOTES); ?> 次のように変換されます。 &lt;script&gt;alert(&#039;hello&#039;)&lt;/script&gt; 補足ですが、imgタグのsrc属性にJavaScriptを指定しても最近のブラウザでは実行されることはありません。ですので、画像のふりをしてJSが仕込まれていたとしてもimgタグであれば実行されることはないかと思います。 https://kaworu.jpn.org/kaworu/2007-11-15-2.php
kikijiji
kikijiji

2020/06/09 07:30

みなさま何でもよくご存じですね…私としては知らないことばかりゆえ大変勉強になりました。どうもありがとうございます。
guest

0

単純に作った人がそこまで考えていなかったか、
ファイルの配置されるディレクトリのデフォルトパーミッションを適切に設定する(ファイルは実行権限がない状態生まれる設定)でことを前提としたクラスである

のどちらかだと思います。
後者であれば、PHPでは特に何もしなくても特に問題発生しません。

投稿2020/06/08 18:54

tanat
tanat

総合スコア18727

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kikijiji
kikijiji

2020/06/09 00:54

ありがとうございます。ドキュメントルート外に置きさえすれば、それがどんなファイルであっても現時点で問題は確認されていないということですか?でしたら安心ですね。 ひとつよろしいでしょうか?質問文最後の「こちらのページ」にあるリンクではいろいろと検証をかけているようですが、ドキュメントルート外に置けば不要なものなのでしょうか?
tanat
tanat

2020/06/09 01:14

ドキュメントルート外に設置することで結果として問題が起きない場合はありますが、設置場所とファイルパーミッションは別の軸の問題なのでそれぞれ対応される必要があります。
kikijiji
kikijiji

2020/06/09 03:03

というかよく考えたら、ドキュメントルート外に画像をアップロードしたら、せっかくアップロードした画像が見えなくなってしまいますよね?(笑) やはりドキュメントルート外に置くのではなく、パーミッションを設定するという対策をとるべきなのですね。
tanat
tanat

2020/06/09 03:07

ドキュメントルート外に置いて、PHP経由で表示するのはアクセス制限をしたい時によくある方法です。 それぞれ目的が違う別の方法なので、独立させて考える必要があります。
kikijiji
kikijiji

2020/06/09 03:27

なるほど!ドキュメントルート外というのは、URL入力で表示はできないけど、PHPからは取得できますもんね。やはりドキュメントルート外におくのも大事なセキュリティ対策ですね。パーミッションと合わせ技で設定しておきます。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップセキュリティーに関する質問

画像アップロードプラグイン「class.upload.php」は、ファイルの実行権限が選択できないのにセキュリティは平気なのでしょうか?