質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

Q&A

解決済

3回答

2571閲覧

WEBアプリでのデータチェックのチェック方法について

shaketonori

総合スコア22

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Ajax

Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

0グッド

0クリップ

投稿2020/06/24 01:14

編集2020/06/24 02:08

現在、JavascriptとPHPでWebアプリを制作しています。

データチェックに関して質問します。
サーバーとのやり取りはすべてajaxを使用しています。Formでサーバー側に
送るようなことはしていません。

データのチェックと登録処理は以下のJavascript です。
以下のコードにあるように promise.then で checkDate()とinsertData()を
連結処理しています。

データのチェックはサーバー側のPHPで行っており、インサートする直前に
行っているわけです。
サーバーとの通信はAjaxのみですので、もしブラウザでjavascriptを不可に
していたら、何も処理することができません。

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、
という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

よろしくお願い致します。

javascript

1// 「登録」ボタンクリック 2// 2つのAjaxの連結  checkData() → insertData() 3function doPersonRegist(){ 4 5 if(checkData()){ 6 7 // データチェックcheckData() の結果を変数に 8 var promise = checkData(); 9 10 // resolve()の引数で渡した値は、then()の引数で受け取れる 11 promise.then( function(result){ 12 13 // データチェックの結果が OK だったら 14 if (result == "OK"){ 15 // インサート処理 16 insertData() ; 17 18 // 重複チェックの結果が NG だったら 19 }else{ 20 // アラート表示 21 alert(result); 22 return false; 23 } 24 }); 25 }else{ 26 // チェックが通らなかったときは→終了 27 return false; 28 } 29} 30

javascript

1// データチェック 2function checkData(){ 3 var dfdDc = $.Deferred(); 4 5 6 const data = "personLastName=" + $.trim($('#personLastName').val()) 7 + "&personFirstName=" + $.trim($('#personFirstName').val()) 8 + "&personMail=" + $.trim($('#personMail').val()) 9 + "&personPassword=" + $.trim($('#personPassword').val()) 10 + "&confirmPassword=" + $.trim($('#confirmPassword').val()) 11 + "&personType=" + $('#personType').val() 12 + "&personTelNo_1=" + $.trim($('#personTelNo_1').val()) 13 + "&personTelNo_2=" + $.trim($('#personTelNo_2').val()) 14 + "&personTelNo_3=" + $.trim($('#personTelNo_3').val()) 15 + "&personZipCode_1=" + $.trim($('#personZipCode_1').val()) 16 + "&personZipCode_2=" + $.trim($('#personZipCode_2').val()) 17 + "&personAddressName=" + $.trim($('#personAddressName').val()) 18 + "&personRole=" + $.trim($('#personRole').val()) 19 + "&personSkillLevel=" + $('#personSkillLevel').val() 20 + "&personSelfIntroduction=" + $.trim($('#personSelfIntroduction').val()); 21 22 $.ajax({ 23 type: "POST", 24 url: "../code/validation/CheckPersonTemporary.php", 25 data: data, 26 dataType: 'text', 27 }) 28 // 通信成功時の処理 29 .done(function(response) { 30 31 // チェックの結果を resolve の引数で渡す 32 dfdDc .resolve(response); 33 34 // 通信失敗時の処理 35 }).fail(function() { 36 alert('データチェック検索ができませんでした。管理者にご連絡下さい。'); 37 }); 38 return dfdDc .promise(); 39} 40 41

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

miyabi_takatsuk

2020/06/24 01:23

checkData()で何をやっているかによります。 このcheckData()のソースコードは記載お願いでしょうか?
sakura_hana

2020/06/24 01:25

ブラウザでJavascriptを不可にしていたらそもそもサーバー側に送信もされないのではないでしょうか?
shaketonori

2020/06/24 02:03

checkDate() の中身について、質問を編集更新しました。 insertData()の内容もほぼ同じです。 checkDate()ではすべての項目を送信してPHP側でデータチェックを行っています。 PHP側のチェック内容は空白チェック,形式チェック,文字チェック等の一般的なものです。 説明が足りなくて申し訳ありません。 ブラウザ側のjavascriptを不可にしてデータ送信した場合に不正なデータが送信され問題がある、 とよくいわれますが、この場合、javascriptを不可にしたとき、そもそもデータを送信できないので 上記の指摘は当たりません、という意味で書きました。
miyabi_takatsuk

2020/06/24 02:21

あれ、key=value&key2=value2 形式って、GETでの送信の仕方だと思いますが、 それPOSTで受け取ることできてるんですか? もしかして、GETでの送信になっちゃってませんか? PHPそこまで精通してるわけではないので、細かいこと知らなくて恐縮なのですが・・・。
shaketonori

2020/06/24 02:28

スミマセン ワタシも初心者なのでよくわかりません。 ただ、この書き方でPHPの方で $_POST['personLastName'] で受け取れています。 この機会にちゃんと調べてみたいと思います。ありがとうございました。
miyabi_takatsuk

2020/06/24 02:31

あ、そうなのですね。 jQueryでデータ変換してる可能性もありますが、 PHP側でも、POST送信としていれば、key=value形式の文字列もPOSTとして受け取れるのかも。 ただ、せっかくPOST送信してるのであれば、 オブジェクト形式の方が、内容チェックも含めてやりやすいと思いますよ。
guest

回答3

0

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、

という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

役割が違うので、先に役割を理解したほうが良いかと。

・フロントでのチェック:UX 向上のため
・バックエンドでのチェック:システムとしての正常性確認

POST データは健全なクライアント以外からも簡単に投げられるため、上記のような役割分担になります。

セキュリティ観点では、バックエンドが正しく稼働しているかどうかが鍵です。

少し話はずれますが、クライアントを巻き込んだセキュリティ設計は、CSRF 対策が必要です。
以下の記事は面白いです。
これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎

投稿2020/06/24 10:49

編集2020/06/24 10:59
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

htmlspecialchars($str, ENT_QUOTES, 'UTF-8');

はセキュリティ対策としては明らかに間違っているので、サーバサイドのチェック(バリデーションと出力時のエスケープ)は見直した方が良いかと思いますよ。

まずはIPAの安全なウェブサイトの作り方

を一度読まれることを強くお勧めします。

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、
という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

セキュリティ的な観点で言うと、クライアントサイドのJavaScriptやHTTPリクエストは改竄が可能であり、チェックをすり抜けることが容易です。

例えば

サーバーとの通信はAjaxのみですので、もしブラウザでjavascriptを不可に
していたら、何も処理することができません。

と言うのは誤解で、色々な手段で直接HTTPリクエストを生成してサーバに送りつけることは可能です。

結果としてクライアントサイドでのバリデーションはセキュリティ的な要素は出来たらラッキー&カジュアルな悪意を防ぐくらいの効果を想定して、主な目的なUI/UXの向上を想定すると良いかと思います。

投稿2020/06/24 06:46

tanat

総合スコア18727

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ベストアンサー

今のまま、
JS側でのチェックをせずにPHP(サーバー側)に送信していると、
XSSとまでいかなくとも、何かしろで攻撃される危険があるので、
最低限、JS側でも送信内容チェックさせた方がいいです。

投稿2020/06/24 02:24

編集2020/06/24 05:59
miyabi_takatsuk

総合スコア9555

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

shaketonori

2020/06/24 05:47

XSSの危険性は悪意あるスクリプトがHTML生成されるときに発生する問題だと 認識しています。 つまり、入力された悪意あるスクリプト文字列が、データベースに取り込まれ、 ブラウザ側に再表示される際に発生する問題だと考えます。 今回のケースでは、確かにjavascript側では何等のチェックも行っていませんが、 PHPに取り込まれたら最初に htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); でサニタイジング処理を行っています。 (質問の際、ここまでは詳しく説明しませんでした。ゴメンナサイ) そのため、特殊文字が必ずエスケープされてデータベースに取り込まれます。 そのため、再表示する際にはサニタイジングされた文字列がブラウザに渡され、 XSSの問題は発生しないんじゃないでしょうか。
miyabi_takatsuk

2020/06/24 05:57

なるほど・・・。 一応、サニタイジングをしている旨は質問本文に記載しといたほうがいいかと思います。 (もちろん、最低限やるべきなことではあるのでわざわざ感はありますが、一応) そうですね・・・。 ですが、どんな攻撃方法が世の中にあるかわかりませんし、これをやっておけば100%大丈夫、という保証はセキュリティという分野にはありません。 (つまり、どこまでやってもやりすぎということはない) 私の会社では、必ず、フロントサイドでもバリデーションを行なっています。 サーバーサイドでも行うという、ダブルチェックを行なっています。 XSSと具体的に出したのは語弊があったかもしれません、失礼しました。
shaketonori

2020/06/24 06:09

回答ありがとうございました。 ローカル(javascript)とサーバー(PHP)で二重のデータチェックを行った際、 困ったことにチェックの結果が異なることがまれにあります。 そのため、今回、サーバー側のチェックに一本化しようと考えたわけです。 ただ、セキュリティについたは「やりすぎ」はありませんね。XSS対策はくどいほど やったほうがいいかもしれませんね。 貴重なご意見、ありがとうございました。
miyabi_takatsuk

2020/06/24 06:12 編集

> ローカル(javascript)とサーバー(PHP)で二重のデータチェックを行った際、 困ったことにチェックの結果が異なることがまれにあります。 これはよくわかります 汗 チームで分かれたりしてると特に起きますよね。 なので、フロントとバックのエンジニア同士の連携がけっこうキモになってきます。 私の会社では、相違にならないようチーム間でコードレビュー や、意見交換をよく行なっています。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問