PHPのセキュリ対策（バリデーション）サーバー側の入力要素の検証についての質問

セキュリ対策（バリデーション）について質問があります。

初歩的だと思いますが、
何卒よろしくお願い致します。

例えば、日付のdata型の入力フォームがある場合、
ブラウザ側の内蔵バリデーションが働くと思います。

html
1<input type='date' name='Date'>

しかし、悪意のあるユーザーはサーバーに直接、送信できると学習しました。

クライアントからサーバーに渡されたデータを信用しないでください。フォームが正しく検証を行い、クライアント側で悪意のある入力を防いでいるとしても、悪意のあるユーザーはネットワークリクエストを改ざんすることができます。

質問なのですが、

1点目
日付のdata型(時刻のtime型)で受け取ったデータでさえも、
サーバー側でバリデーションをする必要があるのでしょうか？

2点目
その場合、htmlspecialchars()である程度は防げるのでしょうか？
もちろんhtmlspecialchars()はあくまあでエスケープ処理であることは学習しました。

というのも、そこまでガチガチに対策をしなくても、
致命的な障害(データベースの改善)を防げれば良いと考えております。

よろしくお願い致します。

2020/12/05 05:52

前の質問のコメント、読めてます？読めないor理解出来ないのならそうコメント残してくれれば補足ぐらいしたのに。それとも分かった上でバリデーションかけるのが嫌だとか別の理由あります？前の質問の回答でスッキリ納得できちゃう程に優秀な質問者さんなら理由あるのかもしれませんし、書いたらどうです？

行動規範の内容に同意します

回答1件

ベストアンサー

日付のdata型(時刻のtime型)で受け取ったデータでさえも、

サーバー側でバリデーションをする必要があるのでしょうか？

はい。

その場合、htmlspecialchars()である程度は防げるのでしょうか？

もちろんhtmlspecialchars()はあくまあでエスケープ処理であることは学習しました。

実装によりますが、XSSには有効ですが、SQLインジェクションには脆弱です。

そこまでガチガチに対策をしなくても、

それで事故って責任取れるならどうぞ。

投稿2020/12/05 00:51

総合スコア10429

退会済みユーザー

2020/12/05 07:35

ご回答いただきありがとございます。曖昧な質問で申し訳なかったです。おかげさまでSQLインジェクションの学習に進めました。ありがとうございました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問