Q&A
>メゾット
「メソッド」です
Method
PHP
1---略--- 2<?php 3$foo = htmlspecialchars($_POST['foo'],ENT_QUOTES,'UTF-8'); 4if (preg_match('//',$foo)!==1) { 5 die('Error'); 6 } 7?> 8---略--- 9<input type="hidden" name="foo" value="'.$foo.'">'; 10---略---
上のコードに関して、脆弱性についての質問です。書籍(気づけばプロ並みPHP)において、特段対策がなされているようには見られなかったため疑問に思い質問いたします。
このコードは、POSTメソッドによって送られてきた情報について正規表現などを使って入力検査をし、正しい場合のみ次の処理ページに情報を送ります。情報を送る際、inputのhiddenを使用していますが、hiddenでは利用者が内容を書き換えられると聞きました。
この時、悪意のある書き換えが行われることへの対策として、次の処理ページにおいても同じように入力検査をしなければならないのでしょうか?毎度入力検査をするとなると少々冗長ではないでしょうか。
また、別の方法もあればご教授頂ければと思います。よろしくお願いいたします。
回答4件
0
ベストアンサー
回答
hiddenでは利用者が内容を書き換えられると聞きました。
フォーム値はhiddenに限らず、全て書き換え、追加が可能なので、hiddenか否かで区別する意味はあまりありません。
(一見、書き換えられないように見えるが実は書き換えられるので注意して使わなければいけないという要素はあるかとは思いますが)
この時、悪意のある書き換えが行われることへの対策として、次の処理ページにおいても同じように入力検査をしなければならないのでしょうか?
はい、その通りです。
毎度入力検査をするとなると少々冗長ではないでしょうか。
webアプリケーションである以上、仕方ない事なので冗長ではありません。
(ソースコードの冗長さという面では、同じチェック機構(関数やクラス)によって集約出来るので冗長にはなりません)
どうしても毎回チェックをしたくない場合は、
最初のPOSTでセッションに情報を持たせ、確認画面では表示のみを行う
という作りにすれば、チェックはセッションに格納する最初の一回だけで済みます。
備考
気づけばプロ並みPHPはセキュリティ面では誤った記述も多く(特に初版では致命的に誤った記述がいくつもある)、改訂版を副読本と合わせて読む場合以外では信頼してはいけない質の書籍です。
提示されているソースでも、htmlspecialchars()を適用する場所が明らかに誤っています。
セキュリティに関しては、
IPA
安全なウェブサイトの作り方
や
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
等の信頼できる書籍や情報で学習されることをお勧めします。
投稿2021/02/25 05:49
編集2021/02/25 05:54
総合スコア18727
0
セッションやらクッキーやらデータベースなど駆使して
クライアント(webブラウザ)とやり取りする情報を最小限にして
なるべくサーバー側に持っておくようにするってことでいいんじゃないかなと。
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
比較的易しめにまとめてあるのでおすすめ。
投稿2021/02/25 05:56
退会済みユーザー
総合スコア0
0
気づけばプロ並みPHP
この手のタイトルは煽り文句です。
teratailにもこの書籍を参考にしたらしき質問が惨状のように引き起こされています。
hiddenでは利用者が内容を書き換えられると聞きました。
html,css,JavaScriptといったフロント側のコードはブラウザ開発ツールで当該セッションにより書き換えられます。
Webサーバーのコードが書き換わるわけではなく、ユーザーが見ている画面のコードが擬似的に書き換わります。
次の処理ページにおいても同じように入力検査をしなければならないのでしょうか?
hiddenで渡していく限り厳密には対応する必要は出てきます。
なので、検査されたデータをセッションに入れて引き継ぐことにより回避します。
投稿2021/02/25 06:02
編集2021/02/25 06:13総合スコア80875
あなたの回答
tips
プレビュー
