$_SESSIONで取得したデータのエスケープ処理またはサニタイズ処理はどのようにするのでしょうか？

私は現在WordPressのプラグインを開発しています。
そして、開発が終わってWordPress.orgに掲載の申請を提出したところ

Data Must be Sanitized, Escaped, and Validated

という表題で、プログラム内で

$tr_flg=$_SESSION['sl_trans_newPost'];

としている部分を指摘されました。要するに$_SESSIONで取り出したデータをエスケープもサニタイズもせずに使用してはいけないということなんでしょうが、どうやってエスケープ処理やサニタイズ処理していいのか分かりません。
この処理は予めセッションに保存したboolean型のデータを取り出して、trueかfalseかでその後の処理を分岐させるものです。したがって、boolean型であることが保証されるような処理を行う必要があるのかなと思い、次のような処理を加えて再申請しましたがダメでした。

if(gettype($tr_flg)!='boolean'){//$_SESSIONデータのサニタイズ（boolean型であることを保証）
	$_SESSION['sl_trans_newPost']=false;
　　$tr_flg=false;
}

esc_attr関数などでラップするだけでよいのかもしれませんが、それで効果があるとも思えず、困っております。
そもそも、見当違いの理解をしているような気もしています。
どなたかお知恵を授けていただけないでしょうか？

tanat

2023/02/22 03:32

> この処理は予めセッションに保存したboolean型のデータを取り出してこのセッションに保存する部分の処理と、指摘の文章を可能な限り省略せずに追記されるとより適切な回答が得られるかと思います。

行動規範の内容に同意します

回答3件

一般論として、セッション変数にはバリデーション済みの値を格納するのが通例であり、かつセッション変数の値は外部から変更できないため、セッション変数から取り出した値を再度検証することはしません。その値を表示する、あるいはSQL問い合わせに用いる際には、HTMLエスケープしたり、プレースホルダを用いたりしますが、それは表示やSQL呼び出しの都度行いますので、今回は該当しないと思います。

ただ、検証しないといっても、セッション変数がセットされていない状況は常にありえるため、これは検証すべきでしょう。セットされていない場合をfalseとしてよいのであれば、コード例は以下となります。

$tr_flg=$_SESSION['sl_trans_newPost'] ?? false;

あるいは、セットされていないケースを例外処理したい場合は、例えば以下のように書けます。

$tr_flg=$_SESSION['sl_trans_newPost'] ?? null;
if (! is_bool($tr_flg)) {
  //  セッション変数がセットされていない場合の例外処理
}

私はレビュアーの知識不足、あるいは知識の誤解を強く疑っておりますが、いきなり「あなたは間違っている」と返すのも角が立つでしょうから、意図をお伺いするくらいかなと思います。可能でしたら、確認結果を追記いただけると、今後の回答者の助けになります。

投稿2023/02/22 04:02

ockeghem

総合スコア11705

ITmaroon

2023/02/22 04:30

ありがとうございます。私もセッション変数を検証する必要があるのか疑問でしたが、filter_var関数を教えてくださった方がいらっしゃったので、それで修正して再申請しました。でも、そんな必要はあったのかどうか質問してみます。

行動規範の内容に同意します

バリデートについてはfilter_varでいけますが想定がboolをどう検証するかによりますね
つまりfalseとboolではない＝falseが同じ効果になってしまいます。
エスケープ処理は出力のさいに必要な処理なのでどうアウトプットしたいかによって方法が変わってくるでしょう

投稿2023/02/22 01:24

yambejp

総合スコア117615

ITmaroon

2023/02/22 01:57

filter_varという関数を知りませんでした。また、注意点までご教示いただきありがとうございます。早速利用してみます。

行動規範の内容に同意します

「使用箇所」次第では。

どこに保存していようと文字列は文字列なので、
画面出力時であればHTMLエスケープ、
SQLの値として利用するはSQLエスケープ　をしていればいいだけと思います。

具体的な意図については指摘した人にしか分からないので、
「じゃあどうすればいいの」という部分の指南を仰いではいかがでしょうか。

投稿2023/02/22 00:56

m.ts10806

総合スコア80888

m.ts10806

2023/02/22 00:58

booleanにエスケープが必要かというと・・・？やはり問い合わせた方が良いと思います。変数や使い方見ただけで実装の意図や変数の内容まで見えてるわけではないですし。

ITmaroon

2023/02/22 01:14

ありがとうございます。問い合わせてみます！

m.ts10806

2023/02/22 02:04

その手の審査は機械的に判定している可能背もあるので、用途や理由も含めてきちんと説明できれば対処不要となるケースもあると思います。ただ、WordPressのプラグインであればWordPressの機能を利用した方が良いのではと（私はWordPressの開発に携わったことはないですが、セッションなどの管理機能はあると思うので。機能を使った方が安全に処理されそうです）

行動規範の内容に同意します

あなたの回答