質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.02%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

受付中

PHP ワンタイムトークンが一致しない

ryuryuryuryu
ryuryuryuryu

総合スコア1

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0回答

0グッド

1クリップ

151閲覧

投稿2022/11/26 03:08

前提

PHPでワンタイムトークンの実装

実現したいこと

・login.phpで$_SESSION['csrfToken']と$_POST['csrfToken']が一致しないので、一致させたい
・login.phpで取得した$_SESSION['csrfToken']が、index.phpで送ったものと違う値になっている
・login.phpで更新すると$_SESSION['securityLevel']の中だけ更新されるためそれが原因と考えている

該当のソースコード

index.php

<?php require_once './_header.php'; // 配列初期化 $strErrMsg = []; $_SESSION['loginUser'] = []; $_SESSION['csrfToken'] = []; $_SESSION['securityLevel'] = []; ?> <div class="login"> <form class="login__form" method="POST" action="login.php"> <h1 class="login__title">サンプルシステム</h1> <div class="login__list"> <dl class="login__item"> <dt class="login__name">ログインID</dt> <dd class="login__input"> <input type="text" id="loginID" name="loginID"> </dd> </dl> <dl class="login__item"> <dt class="login__name">パスワード</dt> <dd class="login__input"> <input type="text" id="password" name="password"> </dd> </dl> </div> <!-- ワンタイムトークン --> <input type="hidden" name="csrfToken" value="<?php echo h(setToken()); ?>"> <button class="login__button" type="submit">ログイン</button> </form> </div>

security.php

<?php /** * XSS対策:エスケープ処理 * @param string $str * @return string $処理された文字列 */ function h($str) { return htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); } /** * CSRF対策 * @param void * @return string $csrfToken */ function setToken() { $csrfToken = bin2hex(random_bytes(32)); $_SESSION['csrfToken'] = $csrfToken; return $csrfToken; } ?>

login.php

<?php require_once './_header.php'; // トークンがあれば変数に入れる $token = filter_input(INPUT_POST, 'csrfToken'); var_dump($_SESSION); var_dump($token); ?>

_header.php

<?php session_start(); require_once './security.php'; // notice以外のエラーを表示 error_reporting(E_ALL & ~ E_NOTICE); ini_set("display_errors", 1); ?>

試したこと

・index.phpにワンタイムトークン等の記述
・変数にh(setToken());を入れてから使用

補足情報(FW/ツールのバージョンなど)

イメージ説明
上記画像がlogin.phpでvar_dumpした結果です。
配列が$_SESSION、最後のstringが$tokenです。
ローカルでは正常に作動していましたが、サーバーに上げるとうまく機能しなくなりました。

PHP: 8.1.12
レンタルサーバー: ロリポップ

以下のような質問にはグッドを送りましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

グッドが多くついた質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

2022/11/26 08:55

こちらの質問が複数のユーザーから「過去に投稿した質問と同じ内容の質問」という指摘を受けました。

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.02%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。