質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.37%

  • PHP

    25047questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • POST

    284questions

    POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

  • CSRF

    58questions

    クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

【PHP】【CSRF対策】$_POST['token']のデータが送信されていない問題の解決方法【初心者】

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,085

shimane

score 82

現在PHPの勉強をしている初心者のものです。
基礎的な問題なのかもしれないのですが調べても分からなかった為、質問をさせてください。

【目的】
CSRF対策を実装したいです。

【実行した事】
ドットインストールやネットで調べた事を参考にして
CSRF対策を行っているコードを書いてみました。

【問題点】
$_SESSION['token']と$_POST['token']
をチェックする時に$_POST['token']をvar_dump($_POST['token'])をした所、

Notice: Undefined index: token NULL


と表示されました。


【問題のコードです】

【otoiawase1.php】

<?php
session_start();
 ?>
        <span>お問い合わせ</span>
        <div class="otoiawase-box" style="padding:30px">
          <form class="form-horizontal" action="otoiawase2.php" method="post" style="margin-bottom:15px;">
          <div class="form-group">
            <label class="control-label" for="email">お名前</label>
              <input type="text" name="toiawase_name" class="form-control" placeholder="お名前">
          </div>
          <div class="form-group">
            <label class="control-label" for="email">Email</label>
              <input type="email" name="toiawase_email" class="form-control" required placeholder="Email">
          </div>
          <div class="form-group">
            <label class="control-label" for="email">内容</label>
            <textarea name="toiawase_body" class="form-control"  maxlength="1000" minlength="5" required cols=40 rows=10></textarea>
          </div>
          <div class="form-group">
              <input type="submit" value="送信" class="btn btn-primary">
          </div>
          </form>
        </div>
          <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">


【otoiawase2.php】

session_start();

try {
  $db = new \PDO(DSN, DB_USERNAME, DB_PASSWORD);
  $db->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION);
  echo "データベースへの接続が出来ました";

}catch (\PDOException $e) {
  echo $e->getMessage();
  exit;
}

if (!isset($_SESSION['token'])) {
  $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));
}

var_dump($_SESSION['token']);
var_dump($_POST['token']);

if (
  !isset($_SESSION['token']) ||
  !isset($_POST['token']) ||
  $_SESSION['token'] !== $_POST['token']
) {
  throw new \Exception('不正なトークンを使用しています。');
}

$otoiawasename = $_POST['toiawase_name'];
$otoiawaseemail = $_POST['toiawase_email'];
$otoiawasebody = $_POST['toiawase_body'];

$sql = "insert into otoiawase (name, mail, otoiawase, created) values (:name,:mail,:otoiawase,now())
ON DUPLICATE KEY UPDATE
created = now()
";
$stmt = $db->prepare($sql);
$stmt->execute([
  ':name' => $otoiawasename,
  ':mail' => $otoiawaseemail,
  ':otoiawase' => $otoiawasebody
]);

このコードで「$_POST['token']」だけが「NULL」となっていて
ネットで何時間も調べても解決方法が見つからず、
CSRF対策に利用することが出来ずに困っています。

どこか間違っている箇所やおかしな場所がありましたら教えて頂けると嬉しいです。

$_SESSION['token']のvar_dumpの結果:string(32) "a60e17dc5d139bce60620b6e39489cff"
$_POST['toiawase_name']
$_POST['toiawase_email']
$_POST['toiawase_body']

も利用する事が出来て、mysqlでお問い合わせからのデータを保存する事が出来ています。

「$_POST['token']」だけがいくら試しても「NULL」のままです。
簡単な事で見落としがあるのか、根本的な問題なのか・・・。
ご存知の方がいらっしゃいましたら、お力を貸して頂けると嬉しいです。


教えて頂いた通り
<input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">
</form>
</div>
とすると1回は成功してきちんと$_SESSION['token']が表示されたのですが、
再度試してみるとまた同じように

Notice: Undefined index: token in
NULL

とエラーが表示され、$_SESSION['token']の中身のデータが送られていない状態になっていました。

また、IEでも試してみると同じように Notice: Undefined index: token  のエラーが表示されていました。

1度成功したのに、またエラーが表示されるようになり
何が何だか分からずに頭がこんがらがってきました。

何かお気づきの点などがありましたら、お力を貸して頂けると嬉しいです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

          </form>
        </div>
          <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">


ではなく、

          <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">
          </form>
        </div>


でもなく、

          <input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">
          </form>
        </div>


でどうですか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/26 22:58

    ありがとうございます!
    無事にエラーが表示されなくなりました!

    PHPは本当に奥が深いです。こういう事で解決するなんて、とても勉強になりました。
    ありがとうございます!

    キャンセル

+2

otoiawase1.phpの最後

 </form>
        </div>
          <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">


          <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">
 </form>
</div>


とするといいです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/26 22:10

    教えて頂きまして有難うございます。 
    何時間も悩んだ事がこんなにも簡単に解決して頂けるなんて素晴らしいです。

    本当に有難うございます。
    今回の解決方法をメモして忘れないようにしておきます! 大感謝です!!

    キャンセル

  • 2017/07/26 22:20

    すみません、
    教えて頂いた通り
    <input type="hidden" name="token" value="<?= $_SESSION['token']; ?>">
    </form>
    </div>
    とすると1回は成功してきちんと$_SESSION['token']が表示されたのですが、
    再度試してみるとまた同じように

    Notice: Undefined index: token in
    NULL

    とエラーが表示され、$_SESSION['token']の中身のデータが送られていない状態になっていました。

    また、IEでも試してみると同じように Notice: Undefined index: token  のエラーが表示されていました。

    原因は分かりますでしょうか?何か気になる点がありましたら教えて頂けると嬉しいです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.37%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • PHP

    25047questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • POST

    284questions

    POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

  • CSRF

    58questions

    クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。