編集履歴

回答編集履歴

htmlspecialchars の使い方について追記

2017/05/21 16:56

投稿

スコア3095

answer CHANGED Viewed

@@ -33,4 +33,14 @@
 今回のプログラムでは表示が崩れたり、投稿内容が書かれた生テキストが見えるだけで問題になりませんが、ユーザーのIPアドレスや非公開なメールアドレス等を記録するようになると問題がでてきます。
+また htmlspecialchars() はシングルクオートをエスケープしません。今回の使いどころでは問題は起きませんが、場合によってはXSS攻撃を許してしまうため、オプションを指定してより強力なエスケープを行うことをおすすめします。(文字コードの指定は最近のPHPだと最初からUTF-8なので問題ないのですが念のため）
+```php
+htmlspecialchars($tmp);
+↓
+htmlspecialchars($tmp, ENT_QUOTES, 'UTF-8');
+```
 実践的なアプリケーションを作っていきたいのではあれば、セキュリティについても併せて学習をすすめてください。PHP界隈では「[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.amazon.co.jp/dp/4797361190/)」いわゆる徳丸本という大変有名な名著があるので興味があれば読んでみてください。(少し内容が古いですが、現在でも基礎知識は十分通じます）

セキュリティについて追記

2017/05/21 16:56

投稿

miyahan

スコア3095

answer CHANGED Viewed

@@ -10,20 +10,27 @@
 1文字以上 **かつ** 20文字以下 なので `&&` が正解です。
----
 あと $name_max をせっかく定義しているので、それに書き換えます。
 ```php
 if ((strlen($name) <= $name_max) && (strlen($name) !== 0)){
 ```
+さらに、strlen() 関数は日本語のようなマルチバイト文字に対応していません。たとえば名前欄に "勘解由小路左衛門三郎" (10文字) を入力しても、"名前は20文字以内で入力してください" と怒られてしまいます。
+ひらがな・漢字などのマルチバイト文字列を扱う[mbstring](http://php.net/manual/ja/book.mbstring.php) というライブラリがあります。strlen のマルチバイト対応版として [`mb_strlen()`](http://php.net/manual/ja/function.mb-strlen.php) が用意されているのでこれを使います。
+```php
+if ((mb_strlen($name) <= $name_max) && (mb_strlen($name) !== 0)){
+```
 ---
-さらに、strlen() 関数は日本語のようなマルチバイト文字に対応していません。たとえば名前欄に `勘解由小路左衛門三郎` (10文字) を入力しても、"名前は20文字以内で入力してください" と怒られてしまいます。
+ちなみに本題ではありませんが、いくつかセキュリティ上の問題があります
-日本語を使うのならば、mbstring を使いましょう。strlen のマルチバイト対応版として mb_strlen() があるので、これを使います。
+* 悪意のあるユーザーが「ひとこと」に改行を含んだ文字を入力して送信すると、簡単にデータファイル(bbs.txt)の構造が壊れてしまいます
+* 厳密にアクセス権を設定しない限り、ユーザーからデータファイル(bbs.txt)が覗かれてしまいます
-```php
-if ((mb_strlen($name) <= $name_max) && (mb_strlen($name) !== 0)){
+今回のプログラムでは表示が崩れたり、投稿内容が書かれた生テキストが見えるだけで問題になりませんが、ユーザーのIPアドレスや非公開なメールアドレス等を記録するようになると問題がでてきます。
-```
+実践的なアプリケーションを作っていきたいのではあれば、セキュリティについても併せて学習をすすめてください。PHP界隈では「[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.amazon.co.jp/dp/4797361190/)」いわゆる徳丸本という大変有名な名著があるので興味があれば読んでみてください。(少し内容が古いですが、現在でも基礎知識は十分通じます）