質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.05%

PHPのセキュリティに関する関数

解決済

回答 5

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 1,979

score 72

PHPでセキュリティ対策の便利な関数があれば是非教えていただきたいです。

一応自分でも作成したのでアドバイス頂けると幸いです。

XSS対策

function escape($data){

  if (is_array($data)){
    return array_map(__METHOD__, $data);
  } else {
    return htmlspecialchars($data, ENT_QUOTES, 'UTF-8');
  }

}

CSRF対策(トークンの作成とトークンのチェック)

<input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">


※上記のようにPOSTします。

//トークンの作成

function setToken(){
  $bytes=openssl_random_pseudo_bytes(16);
  $token=bin2hex($bytes);
  $_SESSION['token']=$token;
}
//トークンのチェック

function checkToken(){
  if(!(hash_equals($_SESSION['token'],$_POST['token'])) || empty($_SESSION['token'])){
    exit();
  }
}

文字コード検証

function checkEncoding(array $data){

  $result = true;
  foreach ($data as $key => $value) {
    if (is_array($value)){
      $value = implode("", $value);
    }
    if (!mb_check_encoding($value)){
      $result = false;
      break;
    }
  }
  return $result;

}

修正すべき点や他に便利なユーザー定義関数があれば教えてください。
よろしくお願いします。

_____________________________________

以下追記。

<input type="hidden" name="token" 
value="<?php echo htmlspecialchars($_SESSION['token'], ENT_QUOTES, 'UTF-8'); ?>">

トークン生成

function setToken(){

  if(session_status() === PHP_SESSION_ACTIVE){
    return;
  }

  $bytes=openssl_random_pseudo_bytes(16);
  $token=bin2hex($bytes);
  $_SESSION['token']=$token;

}


トークンチェック

function checkToken(){

  if(empty($_SESSION['token']) || empty($_POST['token']) ||
    !(hash_equals($_SESSION['token'],$_POST['token'])))     {
    exit();
  }

}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

checkベストアンサー

+6

XSS対策用のescape関数はどのような利用を想定しているのでしょうか?
配列を受け取って、まとめてエスケープしてもうまく使えないような気がします。なぜなら、HTMLのエスケープは、表示のタイミングで行うべきだからです。これだと、$_GETや$_POSTを予めまとめてエスケープするのかなと思えてしまいますが、そのような方法は推奨されません。アプリケーションの中では、エスケープしない生の値を用いるべきだからです。
また、フレームワークを用いるべきというte2jiさんのコメントに同意いたします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/07 23:37

    value="<?php echo htmlspecialchars(CsrfValidator::generate(), ENT_QUOTES, 'UTF-8');?>"
    あるいは
    value="<?= htmlspecialchars(CsrfValidator::generate(), ENT_QUOTES, 'UTF-8');?>"
    でうまくいきませんか?

    キャンセル

  • 2017/11/07 23:49

    すみません、おっしゃる通りタグ記述ミスでした。正常に動作しました。

    マルチタブで同時に二つPOSTした場合は問題なくPOSTされ、別に用意したページのフォームからPOSTするとCSRF validation failed. と表示され期待通りの動作が確認できました。

    キャンセル

  • 2017/11/07 23:50

    親切に本当にありがとうございました。

    キャンセル

+5

下手に関数を作成するぐらいであれば、フレームワークを使用するほうが安全です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/04 15:49

    わかりました。フレームワークの勉強も視野に入れようと思います。

    ありがとうございました。

    キャンセル

  • 2017/11/07 18:37

    この回答にマイナスが付くことがあるとは思わなかった^^;

    キャンセル

  • 2017/11/08 10:34

    またマイナスが増えてるなぁ^^;

    質問者と ockeghem さんとのやり取り見るだけでも、自作関数ってしんどいってわかると思うんだけど。。。

    マイナス入れた人、コメントよろしく!

    キャンセル

+2

基本的には

  • htmlspecialchars
  • urlencode
  • filter_input

を利用すること
またなるべくclassを利用した上で、変数の取扱をセッタ/ゲッタで行いカプセル化すること
DBへのアクセスが必要な場合は「PDO + prepare処理」で行うことこと

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/04 15:49

    基本的な注意点を教えていただきありがとうございます。参考にさせていただきます。

    キャンセル

0

__METHOD__
はクラスのメソッド名を示すものでarray_mapで呼び出した関数を呼び出したい場合は
__METHOD__ ではなく __FUNCTION__ と書かないと適用されません。

書式指定式でエスケープさせたい場合は以下のようにします。

function escape()
{
    $args = func_get_args();
    $text = array_shift($args);
    $args = array_map('h', $args);
    return vsprintf($text, $args);
}
function h($s)
{
    return htmlspecialchars($s,  ENT_QUOTES, "UTF-8");
}
$a = '<b>テスト</b>';
<div><?php echo escape("%s", $a); ?>

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/04 15:47

    __METHOD__ ではなく __FUNCTION__を使用するのですね。

    コードまで載せていただき、ありがとうございました。

    キャンセル

0

CSRFはブラウザの履歴などから該当URLにアクセスした際や、
別のどこかページから誤ってリンクが貼られている場合など、
不正アクセスの意図が無いユーザーも排除してしまう可能性があります。

checkToken() 関数内で exit() してますが、
これですとなんのエラー表示もなしに画面が真っ白になってしまって
ユーザは何が起こっているかわからず混乱するでしょう。
少なくともexit前にログにエラーを残す処理を加えて無いと、
システム管理者もログに何もエラーが残っていないため、
サイト内のどこかのページで誤ってリンクが貼られてあったとしても
問題に気付くことがないまま放置されることになります。

関数内でexit()をするのは極力避けて、return falseなど返して呼び出し側でなんとかするか、
または throw new \RuntimeException("CSRF Token mismatch");など例外を投げる形とし、
表示側にtry/catchを入れてそこでユーザに正しい入口の案内をしましょう。

ログに関しては trigger_error()か、error_log() 関数などを調べると良いと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/07 22:24

    ありがとうございます!
    exit()だけだとユーザーに不親切ということですね。ログは管理者として把握すべきですね。わかりました。

    https://qiita.com/mpyw/items/8f8989f8575159ce95fc

    例外処理を使うということは上記のようなコードになりますかね?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.05%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る