Q&A
ありがとうございます
JSは防げても、HTTPヘッダを取得して、ヘッダに直書きやら、色んな抜け道があることを考えるべきでした
自作で画像認証するcaptchaを作りましたが、
本来ならセッションに生成した文字列を格納すると思うのですが、
会員登録せず一見しただけのユーザーがいた場合に
セッションファイルというゴミを作りたくないため、
生成した文字列はクッキーに保存しようと思っています
本来なら$_SESSION["captcha"]="生成した文字列を入れる";
これを
header("Set-Cookie: captcha=ここに生成した文字列を入れる; httpOnly; path=/");
このようにしました
これで外部プログラムを使い読みだされる事はない、と思っていいでしょうか?
(ブラウザ開発ツールからのdocument.cookieなどで読み取れないことを確認しました)
もちろんブラウザのクッキーを見れば文字列はわかりますが、
プログラムによる操作さえできなければ問題ないと考えました
答え合わせはif($_POST["code"]==$_COOKIE['captcha'])のようにしようと考えています
ご指摘下さい
回答3件
0
ベストアンサー
これで外部プログラムを使い読みだされる事はない、と思っていいでしょうか?
ダメです。
cookieに格納されている情報は外部プログラムから読み出せるので、
画像認証の意味がなくなります。
セッションファイルというゴミを作りたくないため、
通常の使い方ならデフォルトで自動的に削除してくれるので気にする必要はありませんが、
どうしても気になるのであれば、必要なタイミングでsession_destory()で以下の例のような形でセッションファイルを明示的に破棄することができます。
注意: 通常のコードでは、session_destroy() を呼ぶ必要はありません。 セッションデータを破棄するよりも、 $_SESSION 配列をクリーンアップしてください。
PHP
1<?php 2// セッションの初期化 3// session_name("something")を使用している場合は特にこれを忘れないように! 4session_start(); 5 6// セッション変数を全て解除する 7$_SESSION = array(); 8 9// セッションを切断するにはセッションクッキーも削除する。 10// Note: セッション情報だけでなくセッションを破壊する。 11if (ini_get("session.use_cookies")) { 12 $params = session_get_cookie_params(); 13 setcookie(session_name(), '', time() - 42000, 14 $params["path"], $params["domain"], 15 $params["secure"], $params["httponly"] 16 ); 17} 18 19// 最終的に、セッションを破壊する 20session_destroy();
投稿2021/04/03 16:23
総合スコア18727
0
te2jiさんの回答の派生ですが、以下のコードだと、
if($_POST["code"]==$_COOKIE['captcha'])
$_POST["code"] および $_COOKIE['captcha'] を送らなくても、NULL==NULLで通ってしまいます。警告はでますが、攻撃者の目的は達成すると思います。
投稿2021/04/04 00:47
総合スコア11705
0
$_POST["code"]==$_COOKIE['captcha']で検証するのであれば、適当な cookie をクライアント側でセットしてその値を POST すれば突破できますが、考慮されてます?
captcha を自前実装しようとするにはもろもろの定石を知らなすぎると思います。
識者にジョインしてもらうのが良いかと。
投稿2021/04/03 21:21
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2021/04/03 16:51
2021/04/03 17:15 編集
退会済みユーザー
2021/04/03 23:26