PHPでポストされた配列に対してループを使う処理は安全でしょうか？

PHPアプリケーションにおける安全性について、何かと心配です。

今自分のアプリケーションは、フォームデータを取得し、Ajax経由で配列としてPHPスクリプトへそれをサブミットし、そしてこの配列を通じでループするようになっています。

lang
1foreach($_POST['data'] as $key =&gt; $value){
2    //何かしらの処理
3}
4

ですがもし、ハッカーがAjaxリクエストを偽造し、繰り返し100000000000の要素を持つ'フォームデータ'配列をサブミットしてきたらどうなるのでしょうか？ループはそれぞれの要素を通じて繰り返さなければならないでしょうし、おそらくサーバダウンを引き起こすのではないかと思います。

ちゃんと教わったわけではないのでまちがった推測かもしれませんが・・・
この心配を防ぐ方法はあるのでしょうか？
あればぜひ教えてください。よろしくお願いします！

行動規範の内容に同意します

回答1件

ベストアンサー

max_input_varsで制限できると思います。

http://www.php.net/manual/ja/info.configuration.php#ini.max-input-vars
入力変数を最大で何個まで受け付けるかを指定します (この制限は、スーパーグローバル $_GET、$_POST そして $_COOKIE にそれぞれ個別に適用されます)。このディレクティブを使うと、ハッシュの衝突を悪用したサービス不能攻撃を受ける可能性を軽減できます。このディレクティブで設定した数を超える入力変数があった場合は E_WARNING が発生し、それ以降の入力変数はリクエストから削除されます。

この制限は実際に、あなたの考えるようなものよりも深刻なDoSアタックを防ぐ為に使われます（本当に数千の配列エレメントを繰り返すのは何ともありません）。すなわち、ハッシュの衝突を悪用した攻撃を防ぎます。（HashDoSとしてよく参照されます）。

投稿2014/11/26 02:30