ssh:// まで通してしまう filter

PHPでユーザーの入力フォームから$_POSTされる値があります。このベストな検証を知りたいです。

PHP
1$input_url = input_url$_POST['input_url'];

初めに以下で「http://example.com」といったURLの検証を実装しました。

PHP
1$input_url = filter_input(INPUT_POST, 'input_url', FILTER_VALIDATE_URL) ?? '';

しかし、ssh:// まで通してしまうことを発見しました。

こういった場合はどうしたらいいのでしょうか？

もしかして、正規表現で以下がベストなのでしょうか？

PHP
1$input_url = filter_input(INPUT_POST, 'input_url', FILTER_VALIDATE_URL) && preg_match('|^https?://.*$|', $_POST['input_url']) ?? '';

m.ts10806

2020/09/06 23:25

結局何をどこまで検証の対象とするかではないですか？ sshを通すことにより考えられる弊害まで設計に入っているのでしょうか。

行動規範の内容に同意します

回答1件

しかし、ssh:// まで通してしまうことを発見しました。

発見でもなんでもなく、ドキュメントに記述があります。
検証フィルタ - php.net

値が URL 形式である (» http://www.faqs.org/rfcs/rfc2396 に準拠している) かどうか、オプションで、必須コンポーネントが含まれているかどうかを検証します。妥当な URL が、HTTP プロトコル http:// を指定しているとは限りません。つまり、その URL が期待通りのプロトコル (ssh:// や mailto: など) を使っているかどうか、さらなる検証が必要だということです。この関数は、ASCII の URL のみを正しいとみなすことに注意しましょう。国際化ドメイン名 (非 ASCII 文字を含むもの) は失敗します。

要件が不明瞭なのでベストはわかりませんが、ドキュメントの記述通り、フィルタを通した後、「http(s)://」で始まることを検証すればよいのではないかと思います。

投稿2020/09/06 22:51