Q&A
>wordpressで配列を送信される
どういう場面か具体的に提示されたほうが良いかと思います。
wordpressで配列を送信されるとき、下記のesc_arrを通せば完璧と思っているのですが、抜け穴というか、この検証に対して問題を見つけることはできますか?
もし問題があるならどういうふうにクリアし安全な検証を実装しますか?
php
1add_action('wp_ajax_test_ajax_1', 'test_ajax_1'); 2function test_ajax_1(){ 3 4 // $argsを検証 5 $args = isset($_POST['args']) ? esc_arr( $_POST['args'] ) : []; 6 7 // $argsを使い、データベースから値を取得し$resultsに入れる 8 $results = []; 9 echo json_encode($results); 10 die(); 11} 12 13function esc_arr( $arr ) { 14 return filter_var( $arr, FILTER_CALLBACK, ["options" => function( $v ) { return esc_html( $v ); }] ); 15}
あと、調べたり試したりしたこと・・その結果で想定される「問題」があるなら自身が考えたことを提示したほうが良いかと
回答1件
0
ベストアンサー
投稿2020/10/12 07:39
総合スコア7819
ご回答ありがとうございます。なるほど細やかなお気遣い痛み入ります。XSS対策が十分とわかってよかったです。SQLインジェクションの方はprepareを使っているのですが、esc sqlというのは知りませんでした。
というか、(質問しておいてアレですが)POST値に対してesc_htmlをやる意味はあるでしょうか。必要だと思って実装しましたが、よくよく考えればDBにはesc_htmlを通さずに保存し、出力時にだけesc_htmlをかければいいような気がしてきました。
そうですね、そもそも出力に使うんじゃないならesc_htmlでXSS対策しても意味ないです
ご指導ありがとうございます。勘違いしていたので無駄な処理を実装せずに済みそうです。
ふと思ったのですが、SQLインジェクションとおなじように、PHPインジェクションのようなものはないのでしょうか。たとえばPOST値にPHPコードが送られたときそれをesc_htmlしなくていいのかという疑問です。
ユーザー入力をevalに使うなど危険極まりない行為です
https://www.php.net/manual/ja/function.eval.php
少なくともevalの中ではユーザー入力は完全に文字列として閉じ込められるべきでしょう
まずaddslashesが最低限といったところで
尚且つその文字列がどう使われるかといったところにも注意を払うべきです
https://www.php.net/manual/ja/function.addslashes.php
ありがとうございます。addslashesさえやるつもりがありませんでした。リンク先によく目を通し本番で失敗のないよう気を付けます。
ユーザー入力がPHPの式として評価される箇所に使われること
任意の関数を実行できてしまうことはまず絶対にあってはいけません
特にbase64_decodeの実行を許容してしまうともうなんでもありです
addslashesももはやなんの意味もありません
https://www.php.net/manual/ja/function.base64-decode.php
まるで知らない形式でした。助かりました…
これからそれぞれ実装していくにあたって知りたいことがあれば投稿させて頂くかもしれませんが、その際お目に留まりましたらまたよろしくお願い致します。
あなたの回答
tips
プレビュー
