質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

0回答

324閲覧

PHP ワンタイムトークンが一致しない

ryuryuryuryu

総合スコア1

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

1クリップ

投稿2022/11/26 03:08

前提

PHPでワンタイムトークンの実装

実現したいこと

・login.phpで$_SESSION['csrfToken']と$_POST['csrfToken']が一致しないので、一致させたい
・login.phpで取得した$_SESSION['csrfToken']が、index.phpで送ったものと違う値になっている
・login.phpで更新すると$_SESSION['securityLevel']の中だけ更新されるためそれが原因と考えている

該当のソースコード

index.php

<?php require_once './_header.php'; // 配列初期化 $strErrMsg = []; $_SESSION['loginUser'] = []; $_SESSION['csrfToken'] = []; $_SESSION['securityLevel'] = []; ?> <div class="login"> <form class="login__form" method="POST" action="login.php"> <h1 class="login__title">サンプルシステム</h1> <div class="login__list"> <dl class="login__item"> <dt class="login__name">ログインID</dt> <dd class="login__input"> <input type="text" id="loginID" name="loginID"> </dd> </dl> <dl class="login__item"> <dt class="login__name">パスワード</dt> <dd class="login__input"> <input type="text" id="password" name="password"> </dd> </dl> </div> <!-- ワンタイムトークン --> <input type="hidden" name="csrfToken" value="<?php echo h(setToken()); ?>"> <button class="login__button" type="submit">ログイン</button> </form> </div>

security.php

<?php /** * XSS対策:エスケープ処理 * @param string $str * @return string $処理された文字列 */ function h($str) { return htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); } /** * CSRF対策 * @param void * @return string $csrfToken */ function setToken() { $csrfToken = bin2hex(random_bytes(32)); $_SESSION['csrfToken'] = $csrfToken; return $csrfToken; } ?>

login.php

<?php require_once './_header.php'; // トークンがあれば変数に入れる $token = filter_input(INPUT_POST, 'csrfToken'); var_dump($_SESSION); var_dump($token); ?>

_header.php

<?php session_start(); require_once './security.php'; // notice以外のエラーを表示 error_reporting(E_ALL & ~ E_NOTICE); ini_set("display_errors", 1); ?>

試したこと

・index.phpにワンタイムトークン等の記述
・変数にh(setToken());を入れてから使用

補足情報(FW/ツールのバージョンなど)

イメージ説明
上記画像がlogin.phpでvar_dumpした結果です。
配列が$_SESSION、最後のstringが$tokenです。
ローカルでは正常に作動していましたが、サーバーに上げるとうまく機能しなくなりました。

PHP: 8.1.12
レンタルサーバー: ロリポップ

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問