Q&A
> どうやったら再現できますでしょうか?
釣りとかではなくて、マジメにその質問をしてます? 質問の情報だけでそれが分かる人がいるとホントに思ってます? せめてその「正規表現」とやらを書きませんか?
jquery正規表現でエラーチェックした後
PHPに送信してDB保存、メール送信をしているのですが、
正規表現で許可していないローマ字で送信してきた方がいました。
数字以外だとエラーにしている郵便番号など
ローマ字で送られてきました。
どうやったら再現できますでしょうか?
また、これはセキュリティ面で直した方が良い事象でしょうか?
/*エラー一部*/ $('.err_check').on('click', function () { var error = false; $('.err').html(''); //名前 var name1 = $('.name1').val(); let name2 = $('.name2').val(); let name1_length = $('.name1').val().length; let name2_length = $('.name2').val().length; if (name1 == "" || !name1.match(/^[ぁ-んァ-ヶー一-龠 \r\n\t]+$/) || name1_length > 50 || name2 == "" || !name2.match(/^[ぁ-んァ-ヶー一-龠 \r\n\t]+$/) || name2_length > 50) { error = true; $('.err_name').html('名前を正しく入力してください。') } if (error == false) { $(this).parent().fadeOut(); $(this).parent().next().fadeIn(500); $('.err').html(''); } });
クライアント側のバリデーションだけでは安全ではありません。
https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_01.html
ありがとうございます。
もはやhoshi-takanoriさんの記事が回答で、ベストアンサーにしたいのですが・・
質問の仕方が下手でした。
釣りではありません。
回答2件
0
確認したいのは正規表現が正しいかどうかでしょうか?
その場合は既に指摘されているようにコードを提示してください。
正規表現が正しかったとしても不正なリクエストを送る方法はいくらでもあります。
また、これはセキュリティ面で直した方が良い事象でしょうか?
サーバサイドでエラーチェックを実施していないのであれば大いに問題ありです。
投稿2021/07/29 05:47
総合スコア1088
不正なリクエストを送る方法はいくらで絵もあるんですね、
知識がなく、作る側として知りたかったのですが大人しくサーバーでエラーチェックします。
ありがとうございます。
0
ベストアンサー
jquery正規表現でエラーチェックした後
PHPに送信してDB保存、メール送信をしているのですが、
jquery(クライアント)だけでチェックしていて、
PHP(サーバサイド)では何もチェックしていないということでしょうか?
基本的にどのブラウザでも「開発者ツール」というものが備わっているので、少しの知識があれば jquery の入力チェックなんて簡単にすり抜けられます。
jqueryで入力チェックするのは構いませんが、あくまで入力補助程度に考えておいて、
ちゃんとした入力チェックはPHP側(サーバサイド)に実装するのが基本です。
また、これはセキュリティ面で直した方が良い事象でしょうか?
基本的には直した方がよいと思います。
「身内しか使わないシステムだし、万一攻撃されても大して被害がないし、直す時間も金もない」みたいな場合だと妥協する時もありますけど。
投稿2021/07/29 05:45
総合スコア1685
ちなみに、PHPで正規表現を書く場合は「^ と $」ではなく「\A と \z」を使ってください。
脆弱性ってほどでは無いかもしれませんが、「^ と $」だとデータ末尾に余計な改行が入る可能性があります。
ありがとうございます。
よく知りもせずコピペして使ってました。
サーバー側のエラーチェックは欠かさず作ります。
今回勉強になりました。ありがとうございます。
あなたの回答
tips
プレビュー
