質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
jQuery

jQueryは、JavaScriptライブラリのひとつです。 簡単な記述で、JavaScriptコードを実行できるように設計されています。 2006年1月に、ジョン・レシグが発表しました。 jQueryは独特の記述法を用いており、機能のほとんどは「$関数」や「jQueryオブジェクト」のメソッドとして定義されています。

Q&A

解決済

2回答

1426閲覧

バリデーションエラー突破

sheep100

総合スコア13

jQuery

jQueryは、JavaScriptライブラリのひとつです。 簡単な記述で、JavaScriptコードを実行できるように設計されています。 2006年1月に、ジョン・レシグが発表しました。 jQueryは独特の記述法を用いており、機能のほとんどは「$関数」や「jQueryオブジェクト」のメソッドとして定義されています。

0グッド

2クリップ

投稿2021/07/29 05:08

編集2021/07/29 05:53

jquery正規表現でエラーチェックした後
PHPに送信してDB保存、メール送信をしているのですが、
正規表現で許可していないローマ字で送信してきた方がいました。

数字以外だとエラーにしている郵便番号など
ローマ字で送られてきました。

どうやったら再現できますでしょうか?

また、これはセキュリティ面で直した方が良い事象でしょうか?

/*エラー一部*/ $('.err_check').on('click', function () { var error = false; $('.err').html(''); //名前 var name1 = $('.name1').val(); let name2 = $('.name2').val(); let name1_length = $('.name1').val().length; let name2_length = $('.name2').val().length; if (name1 == "" || !name1.match(/^[ぁ-んァ-ヶー一-龠  \r\n\t]+$/) || name1_length > 50 || name2 == "" || !name2.match(/^[ぁ-んァ-ヶー一-龠  \r\n\t]+$/) || name2_length > 50) { error = true; $('.err_name').html('名前を正しく入力してください。') } if (error == false) { $(this).parent().fadeOut(); $(this).parent().next().fadeIn(500); $('.err').html(''); } });

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/07/29 05:22

> どうやったら再現できますでしょうか? 釣りとかではなくて、マジメにその質問をしてます? 質問の情報だけでそれが分かる人がいるとホントに思ってます? せめてその「正規表現」とやらを書きませんか?
sheep100

2021/07/29 05:50

ありがとうございます。 もはやhoshi-takanoriさんの記事が回答で、ベストアンサーにしたいのですが・・ 質問の仕方が下手でした。 釣りではありません。
guest

回答2

0

確認したいのは正規表現が正しいかどうかでしょうか?
その場合は既に指摘されているようにコードを提示してください。

正規表現が正しかったとしても不正なリクエストを送る方法はいくらでもあります。

また、これはセキュリティ面で直した方が良い事象でしょうか?

サーバサイドでエラーチェックを実施していないのであれば大いに問題ありです。

投稿2021/07/29 05:47

javahack

総合スコア1088

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

sheep100

2021/07/29 05:57

不正なリクエストを送る方法はいくらで絵もあるんですね、 知識がなく、作る側として知りたかったのですが大人しくサーバーでエラーチェックします。 ありがとうございます。
guest

0

ベストアンサー

jquery正規表現でエラーチェックした後
PHPに送信してDB保存、メール送信をしているのですが、

jquery(クライアント)だけでチェックしていて、
PHP(サーバサイド)では何もチェックしていないということでしょうか?

基本的にどのブラウザでも「開発者ツール」というものが備わっているので、少しの知識があれば jquery の入力チェックなんて簡単にすり抜けられます。

jqueryで入力チェックするのは構いませんが、あくまで入力補助程度に考えておいて、
ちゃんとした入力チェックはPHP側(サーバサイド)に実装するのが基本です。

また、これはセキュリティ面で直した方が良い事象でしょうか?

基本的には直した方がよいと思います。

「身内しか使わないシステムだし、万一攻撃されても大して被害がないし、直す時間も金もない」みたいな場合だと妥協する時もありますけど。

投稿2021/07/29 05:45

shinoharat

総合スコア1685

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

shinoharat

2021/07/29 05:54

ちなみに、PHPで正規表現を書く場合は「^ と $」ではなく「\A と \z」を使ってください。 脆弱性ってほどでは無いかもしれませんが、「^ と $」だとデータ末尾に余計な改行が入る可能性があります。
sheep100

2021/07/29 06:00

ありがとうございます。 よく知りもせずコピペして使ってました。 サーバー側のエラーチェックは欠かさず作ります。 今回勉強になりました。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問