質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

解決済

【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

7968
7968

総合スコア253

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

4回答

8評価

40クリップ

41020閲覧

投稿2017/04/06 09:30

編集2017/04/11 04:17

PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω` )ペコ

このメールフォームは、下記を対象者としています。

  • php メールフォーム 作り方 でググってコピペする方
  • コピペして動けばいいと考えている方
  • if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
  • 脆弱性?なにそれ?という方

そのために、このメールフォームは下記の点を意識して作成しました。

  • コピペしたら動く
  • なるべく難しい記述はしない、記述量を減らす
  • 処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
  • PHP5.2.xまで想定し、環境(magic_quotes_gpc、セーフモード)に依存しない
  • 肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮

最終的にはコード+説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...

皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω` )ペコ
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。

入力(index.php) → 確認(confirm.php) → 送信(send.php) と画面を遷移してメールを送ります。

php

<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // HTML特殊文字をエスケープする関数 function h($str) { return htmlspecialchars($str,ENT_QUOTES,'UTF-8'); } /* -------------------------------------------------- トークンの作成(CSRF対策) ※使用しているPHPのバージョン・環境にあわせて トークンを選んでね。不要なトークは削除してね。 -------------------------------------------------- */ // PHP 7.0 以降 if(!isset($_SESSION['token'])) { $_SESSION['token'] = bin2hex(random_bytes(32)); } // PHP 5.3 ~ 5.x ※OPENSSL導入済 if(!isset($_SESSION['token'])) { $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32)); } // PHP 5.3 未満 if(!isset($_SESSION['token'])) { $_SESSION['token'] = hash('sha256', session_id()); } // トークンを代入 $token = $_SESSION['token']; ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>入力画面</title> </head> <body> <h1>お問い合わせ(入力画面)</h1> <form method="post" action="confirm.php"> <table> <tr> <th>お名前(必須)</th> <td><input type="text" name="name"></td> </tr> <tr> <th>ふりがな(必須)</th> <td><input type="text" name="ruby"></td> </tr> <tr> <th>メールアドレス(必須)</th> <td><input type="text" name="mail"></td> </tr> <tr> <th>内容(必須)</th> <td><textarea name="content"></textarea></td> </tr> </table> <input type="hidden" name="token" value="<?php echo h($token); ?>"> <button>送信内容確認</button> </form> </body> </html>

php

<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // HTML特殊文字をエスケープする関数 function h($str) { return htmlspecialchars($str,ENT_QUOTES,'UTF-8'); } ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>確認画面</title> </head> <body> <h1>お問い合わせ(確認画面)</h1> <?php // セッション変数がなければ、空文字を代入 if(!isset($_SESSION['token'])) { $_SESSION['token'] = ''; } // POSTされたデータを変数に代入(magic_quotes_gpc = On + NULLバイト 対策) foreach (array('token','name','ruby','mail','content') as $v) { $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW); } // トークンを確認し、確認画面を表示 if($token !== $_SESSION['token']) { echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>'; } else { $error_flag = 0; // 必須項目は未入力をチェック if ($name === '') { echo '<p>お名前をご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($name) > 50) { echo '<p>お名前は 50 文字以内で入力してください。</p>'; $error_flag = 1; } if ($ruby === '') { echo '<p>ふりがなをご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($ruby) > 50) { echo '<p>ふりがなは 50 文字以内で入力してください。</p>'; $error_flag = 1; } if ($mail === '') { echo '<p>メールアドレスをご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($mail) > 100) { echo '<p>メールアドレスは 100 文字以内で入力してください。</p>'; $error_flag = 1; } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) { echo '<p>メールアドレスの形式が正しくありません。</p>'; $error_flag = 1; } if ($content === '') { echo '<p>内容をご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($content) > 500) { echo '<p>内容は 500 文字以内で入力してください。</p>'; $error_flag = 1; } // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示 if ($error_flag === 1) { echo '<button onClick="history.back(); return false;">戻る</button>'; } else { // セッション変数に代入 $_SESSION['name'] = $name; $_SESSION['ruby'] = $ruby; $_SESSION['mail'] = $mail; $_SESSION['content'] = $content; // 確認用画面の表示 ?> <form method="post" action="send.php"> <table> <tr> <th>お名前</th> <td><?php echo h($name); ?></td> </tr> <tr> <th>ふりがな</th> <td><?php echo h($ruby); ?></td> </tr> <tr> <th>メールアドレス</th> <td><?php echo h($mail); ?></td> </tr> <tr> <th>内容</th> <td><?php echo nl2br(h($content)); ?></td> </tr> </table> <input type="hidden" name="token" value="<?php echo h($token); ?>"> <button>送信</button> </form> <?php } } ?> </body> </html>

php

<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // mb_send_mail のエンコーディング mb_language('ja'); // 内部文字エンコーディングを設定 mb_internal_encoding('UTF-8'); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>送信画面</title> </head> <body> <h1>お問い合わせ(送信画面)</h1> <?php // セッション変数がなければ、空文字を代入 if(!isset($_SESSION['token'])) { $_SESSION['token'] = ''; } // POST['token']の値をtoken変数に代入 $token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW); // 各セッション変数を各変数に代入 $name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : ''; $ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : ''; $mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : ''; $content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : ''; // トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する if($token !== $_SESSION['token']) { echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>'; } else { /* 運営側へ送信するメールの設定 */ // 送信先のメールアドレス $to = 'xxxxxx@xxxxx.xxxx'; // 件名 $subject = '【お問い合わせからの送信】○○○○○○○○○○'; // 本文 $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content"; // オプション $option = '-f'. $to; /* 問い合わせされた方へ自動返信するメールの設定 */ // 件名 $auto_subject = '【お問い合わせ】○○○○○○○○○○'; // 送信元のメールアドレス $auto_from = 'From:' . $to; // 本文 $auto_message = " ※このメールは自動返信によるものです。 $name このたびは、お問合せいただき、誠にありがとうございました。 お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。 "; /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */ if(ini_get('safe_mode')) { /* 運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する */ if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) { echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>'; } else { echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>'; } } else { /* 運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する */ if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) { echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>'; } else { echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>'; } } } // セッションの破棄 $_SESSION = array(); session_destroy(); ?> </body> </html>

2017.04.11 追記

徳丸氏による、脆弱性の解説です。

ありがとうございます((_ _ (´ω` )ペコ

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。