PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω` )ペコ
このメールフォームは、下記を対象者としています。
- php メールフォーム 作り方 でググってコピペする方
- コピペして動けばいいと考えている方
- if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
- 脆弱性?なにそれ?という方
そのために、このメールフォームは下記の点を意識して作成しました。
- コピペしたら動く
- なるべく難しい記述はしない、記述量を減らす
- 処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
- PHP5.2.xまで想定し、環境(magic_quotes_gpc、セーフモード)に依存しない
- 肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮
最終的にはコード+説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...
皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω` )ペコ
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。
入力(index.php
) → 確認(confirm.php
) → 送信(send.php
) と画面を遷移してメールを送ります。
php
<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // HTML特殊文字をエスケープする関数 function h($str) { return htmlspecialchars($str,ENT_QUOTES,'UTF-8'); } /* -------------------------------------------------- トークンの作成(CSRF対策) ※使用しているPHPのバージョン・環境にあわせて トークンを選んでね。不要なトークは削除してね。 -------------------------------------------------- */ // PHP 7.0 以降 if(!isset($_SESSION['token'])) { $_SESSION['token'] = bin2hex(random_bytes(32)); } // PHP 5.3 ~ 5.x ※OPENSSL導入済 if(!isset($_SESSION['token'])) { $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32)); } // PHP 5.3 未満 if(!isset($_SESSION['token'])) { $_SESSION['token'] = hash('sha256', session_id()); } // トークンを代入 $token = $_SESSION['token']; ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>入力画面</title> </head> <body> <h1>お問い合わせ(入力画面)</h1> <form method="post" action="confirm.php"> <table> <tr> <th>お名前(必須)</th> <td><input type="text" name="name"></td> </tr> <tr> <th>ふりがな(必須)</th> <td><input type="text" name="ruby"></td> </tr> <tr> <th>メールアドレス(必須)</th> <td><input type="text" name="mail"></td> </tr> <tr> <th>内容(必須)</th> <td><textarea name="content"></textarea></td> </tr> </table> <input type="hidden" name="token" value="<?php echo h($token); ?>"> <button>送信内容確認</button> </form> </body> </html>
php
<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // HTML特殊文字をエスケープする関数 function h($str) { return htmlspecialchars($str,ENT_QUOTES,'UTF-8'); } ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>確認画面</title> </head> <body> <h1>お問い合わせ(確認画面)</h1> <?php // セッション変数がなければ、空文字を代入 if(!isset($_SESSION['token'])) { $_SESSION['token'] = ''; } // POSTされたデータを変数に代入(magic_quotes_gpc = On + NULLバイト 対策) foreach (array('token','name','ruby','mail','content') as $v) { $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW); } // トークンを確認し、確認画面を表示 if($token !== $_SESSION['token']) { echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>'; } else { $error_flag = 0; // 必須項目は未入力をチェック if ($name === '') { echo '<p>お名前をご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($name) > 50) { echo '<p>お名前は 50 文字以内で入力してください。</p>'; $error_flag = 1; } if ($ruby === '') { echo '<p>ふりがなをご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($ruby) > 50) { echo '<p>ふりがなは 50 文字以内で入力してください。</p>'; $error_flag = 1; } if ($mail === '') { echo '<p>メールアドレスをご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($mail) > 100) { echo '<p>メールアドレスは 100 文字以内で入力してください。</p>'; $error_flag = 1; } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) { echo '<p>メールアドレスの形式が正しくありません。</p>'; $error_flag = 1; } if ($content === '') { echo '<p>内容をご入力してください。</p>'; $error_flag = 1; } elseif (mb_strlen($content) > 500) { echo '<p>内容は 500 文字以内で入力してください。</p>'; $error_flag = 1; } // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示 if ($error_flag === 1) { echo '<button onClick="history.back(); return false;">戻る</button>'; } else { // セッション変数に代入 $_SESSION['name'] = $name; $_SESSION['ruby'] = $ruby; $_SESSION['mail'] = $mail; $_SESSION['content'] = $content; // 確認用画面の表示 ?> <form method="post" action="send.php"> <table> <tr> <th>お名前</th> <td><?php echo h($name); ?></td> </tr> <tr> <th>ふりがな</th> <td><?php echo h($ruby); ?></td> </tr> <tr> <th>メールアドレス</th> <td><?php echo h($mail); ?></td> </tr> <tr> <th>内容</th> <td><?php echo nl2br(h($content)); ?></td> </tr> </table> <input type="hidden" name="token" value="<?php echo h($token); ?>"> <button>送信</button> </form> <?php } } ?> </body> </html>
php
<?php // 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策) header('X-FRAME-OPTIONS: SAMEORIGIN'); // セッション開始 session_start(); // mb_send_mail のエンコーディング mb_language('ja'); // 内部文字エンコーディングを設定 mb_internal_encoding('UTF-8'); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>送信画面</title> </head> <body> <h1>お問い合わせ(送信画面)</h1> <?php // セッション変数がなければ、空文字を代入 if(!isset($_SESSION['token'])) { $_SESSION['token'] = ''; } // POST['token']の値をtoken変数に代入 $token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW); // 各セッション変数を各変数に代入 $name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : ''; $ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : ''; $mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : ''; $content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : ''; // トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する if($token !== $_SESSION['token']) { echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>'; } else { /* 運営側へ送信するメールの設定 */ // 送信先のメールアドレス $to = 'xxxxxx@xxxxx.xxxx'; // 件名 $subject = '【お問い合わせからの送信】○○○○○○○○○○'; // 本文 $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content"; // オプション $option = '-f'. $to; /* 問い合わせされた方へ自動返信するメールの設定 */ // 件名 $auto_subject = '【お問い合わせ】○○○○○○○○○○'; // 送信元のメールアドレス $auto_from = 'From:' . $to; // 本文 $auto_message = " ※このメールは自動返信によるものです。 $name 様 このたびは、お問合せいただき、誠にありがとうございました。 お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。 "; /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */ if(ini_get('safe_mode')) { /* 運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する */ if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) { echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>'; } else { echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>'; } } else { /* 運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する */ if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) { echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>'; } else { echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>'; } } } // セッションの破棄 $_SESSION = array(); session_destroy(); ?> </body> </html>
2017.04.11 追記
徳丸氏による、脆弱性の解説です。
ありがとうございます((_ _ (´ω` )ペコ
まだ回答がついていません
会員登録して回答してみよう