常連

よくある形態のWebメディアを開発しており、
キャンペーンやメルマガの配信にメールアドレスを収集しております。
※メールアドレスで会員登録しています

データベースに保存する際、メールアドレスを暗号化するのは一般的なのでしょうか？
上司から「メールアドレスは個人情報だから暗号化して保存しないと」と言われたのですが、
これまで上場企業のシステムなど複数携わったことがありますが、
会員登録時にメールアドレスを暗号化して保存しているシステムに出会ったことがありません。

「暗号化しないよりはした方がいい」というのは分かりますが、
複合化や検索時のデメリットを考えると「本当に暗号化する必要性はあるのだろうか？」と思ってしまいます。

私のセキュリティ感覚に問題があるのか、今回がレアケースなのか、
皆さんのご経験などを踏まえてご教授頂けますと幸いです。


メールアドレスの暗号化は必要でしょうか？

## テーマ、知りたいこと

現在Webサービスを作成中です。ユーザーにクレジットカード情報の入力を求めているのですが、ユーザーが毎回クレジットカード情報を入力しなくても済むように、クレジットカード情報を保持しないシステムを構築し、安全にやり取りする方法を教えてください。

ただし、信頼できる支払いゲートウェイやサービスプロバイダーは利用できません。

Stripe などの信頼できる決済ゲートウェイが使用できない理由は、利用規約でアダルト コンテンツの支払いが禁止されているためです。

クレジットカードを使用してアダルトコンテンツを販売する許可をクレジットカード会社自体から得ることは可能ですが、決済ゲートウェイがこれをブロックします。

アダルトコンテンツを扱える決済ゲートウェイがあれば、それを利用することを検討しています。

クレジット カード情報を非保持にしなければならない理由は、PCI DSS に準拠するためです。

しかし、ユーザーがクレジットカード情報を毎回手動で入力するのは面倒です。

ちなみにこのサービスは現在、next.js、TypeSript、Prisma、MongoDB、Vercelの技術スタックを用いて開発されています。

多くの支払いゲートウェイの利用規約を調べてみたところ、アダルト コンテンツの取引は禁止されていると記載されています。

## 背景、状況

日本にはアダルトビデオを販売する会社がたくさんあります。動画をデジタルコンテンツとして販売するサービスもあります。日本ではFanzaやFC2などのサービスが有名ですが、海外ではPurnHubなどのサービスがあります。クレジットカードでの支払いも受け付けています。したがって、これらは達成可能だと思います

## 調査したこと・試したこと

stripeの利用規約を調査、確認したがやはりアダルトコンテンツは取引禁止となっている。
その他PayPayなどの決済サービスも同様である

しかし、クレジットカード会社に直接契約を申し込んだところ、アダルトコンテンツの取引は問題ないという結果だった。


クレジットカード情報を保持しないシステムの作成方法を知りたいです。

## テーマ、知りたいこと

ここに質問(意見)を聞いていいのかわかりませんが...

![![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/9fe0c95c-8850-4897-980e-5873410a3b66.png)](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/e6c6c25e-b2a8-4990-bc8d-a6d38b65085c.png)

このような図において，**コンピュータウイルスに含まれないランサムウェアが存在するのか**，ということに疑問を持っています．

## 背景、状況

![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-03/b04be907-9a6b-4b4c-8887-2fbd502340a9.png)

のような図をネット上で見つけたのですが(ランサムウェアはマルウェアと何が違うのか？ | サイバーセキュリティ情報局 [https://eset-info.canon-its.jp/malware_info/special/detail/191031.html](https://eset-info.canon-its.jp/malware_info/special/detail/191031.html))，ランサムウェアに含まれないウイルスや，トロイの木馬などがあると思うので間違っていると考えたのですが，狭義のコンピュータウイルスに含まれないランサムウェアががあるのかということに疑問を持ちました．

有識者の方がおられましたらお教えいただきたいです．
また，こうじゃないかという意見がありましたらぜひお願いします！

狭義のコンピュータウイルスに当てはまらない(属さない)ランサムウェアは存在すると思いますか？

## テーマ、知りたいこと

僕としてはプログラマーなどはAIにとられないのではないかと考えていますが，実際のところどうなのか疑問に思いました．

AIにとられないと考える要因はAIを作るAIの実用性の問題や倫理的な面というのもありますが，人間の想像力とかっていものは人工知能に勝ると思っているからです．
ただ，仕事としてのプログラマーの現状やIT企業の状況などはもちろんながら知らないので，実際企業などにおいてどういったトレンドになっているのか，などを聞き，議論したいなと考えています．

AIのレベルも上がってきてるので完全に，とはいかなくてもいつか置き換わってしまうのでしょうか？

## 参考：BCC Will a robot take your job?
自分でも調査をしてみた結果，BCCが公開しているサイト　[Will a robot take your job?](https://www.bbc.com/news/technology-34066941)　では以下のような結果になりましたが，データが更新されているのかは割りませんが，サイトの更新自体が2015年で止まっているので信ぴょう性に欠けるなと思っています．

![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-07-04/141dea66-dbdc-4f6c-8d2e-10b90c4caf0f.png)


社会の厳しさやITの職場の現状を知らないのですが，ご存じの有識者の方々の意見を伺いたいです．
取られるとしたら具体的にこの部分，みたいなのもあればお聞きしたいです．
よろしくお願いします。

## 謝罪

最初にややこしいこと書いてしまってましたが，この議題を投げた理由は率直な有識者の皆さんの意見を聞いて，議論したいなと考えていたからです．いろいろと誤解させてしまうような文章を書いてしまってすみません．

プログラマーやセキュリティエンジニアはAI・ロボットに仕事を奪われると思いますか？

## テーマ、知りたいこと
スクリーンキーボードをプログラムで操作して間接的にパスワードを入力しようとしている。

うまくいっていない。
https://teratail.com/questions/l33n6qae1s61is

>VBScriptのSendkeyじゃダメなんでしょうか？
善意での発言だろうが、そのvbsファイルが見られたらパスワードだだもれ

操作プログラムをexe化すれば難読

ところで、USBキーボードと本体との間に物理で介するキーロガーは、確かにキーボードを使わなければ剽窃を回避できるだろう

でも、Windowsの場合はキーボード入力がメッセージとしてどのプログラムにも公開されているらしい。実際にフックしてメッセージを書き換えるプログラムがある。
じゃ、「スクリーンキーボードでポチポチ」も読まれてしまうのでは？
それを防止するために「うまくいっていない」現象が発生するようにWindows10は頑張っているのではないの？仕組みは不明だが






ま、タッチキーボードだと成功するけどね


パスワード剽窃防止で

### 前提
レンタルサーバーに、ある会社のために作ったサイトに、外部の人からphpプログラム（マルウェア）を書き込まれました。そのプログラムを実行するとサーバーのIDとパスワードを知らなくても、ファイルマネージャーとして動きます。
それを実行したと思われるのですが、サイトの中のフォルダやファイルが全て消されてしまいました。

### 実現したいこと

- [ ] 外部からサーバーに勝手に書き込む手法としてどのようなことが考えられるのかを知りたいです。
- [ ]  サーバーに書き込むことを防ぐ方法にどのようなことが考えられるのかを知りたいです。

### 発生している問題・エラーメッセージ

```
サイトのファイルが全部消されてしまった。
```

### 該当のソースコード

```php
<?php /* tjwlltii akhmhcij */error_reporting(0);ini_set("display_errors", 0);if(!defined('lmhelqpg')){define('lmhelqpg',__FILE__);if(!function_exists("斐ﾗｩｧ壟ﾅ")){function ﾈ埣・ﾌｳﾗ($ﾒｭﾚ懌榴){global$ｼ堋棕ﾎ,$ﾑ釟ｹ
```
書き込まれたPHPプログラムの一部だけを表示します。
もし、これの全部が必要な方は連絡をください。

### 試したこと

これまで行っていたセキュリティ対策
・WAFの導入（検出ログは、問題の発生日には何もありませんでした）
・国外IPアドレスからのアクセスは制限してあります
・サーバーログイン履歴には問題の発生日にはログインはありませんでした。

### 補足情報（FW/ツールのバージョンなど）
アクセスログです。（「自分.com」が実際のドメイン名になります）
zzeiajc.phpが書き込まれたプログラムです。
> 自分.com 14.3.114.129 - - [03/Aug/2022:11:06:39 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 103.214.141.162 - - [03/Aug/2022:12:11:07 +0900] "GET /**zzeiajc.php** HTTP/1.1" 200 315205 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
> 自分.com 103.214.141.162 - - [03/Aug/2022:12:36:31 +0900] "POST /zzeiajc.php HTTP/1.1" 200 29284 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
> 自分.com 103.214.141.162 - - [03/Aug/2022:12:36:35 +0900] "POST /zzeiajc.php HTTP/1.1" 200 46047 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.60 Safari/537.36"
> 自分.com jobqueue-listener.jobqueue.netcraft.com-ub52906ae128411ed83c1d26e838d6ab1u-digitalocean-2gb - - [03/Aug/2022:13:05:19 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
> 自分.com 93.89.114.58.ip.vitnett.no - - [03/Aug/2022:14:56:30 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2638.56 Safari/537.36"
> 自分.com 14.3.114.129 - - [03/Aug/2022:15:30:24 +0900] "GET /finish.php HTTP/1.1" 200 - "https://自分.com/roumuka_menu.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 14.3.114.129 - - [03/Aug/2022:15:30:25 +0900] "GET / HTTP/1.1" 200 1632 "https://自分.com/finish.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 14.3.114.129 - - [03/Aug/2022:15:39:46 +0900] "GET /zzeiajc.php HTTP/1.1" 200 315202 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 14641 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 14.3.114.129 - - [03/Aug/2022:15:47:34 +0900] "POST /zzeiajc.php HTTP/1.1" 200 57669 "https://自分.com/zzeiajc.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.sakura.ne.jp cache.google.com - - [03/Aug/2022:16:44:21 +0900] "GET / HTTP/1.1" 200 1632 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.sakura.ne.jp 210.158.146.102 - - [03/Aug/2022:16:44:22 +0900] "GET /style.css HTTP/1.1" 200 12155 "http://自分.sakura.ne.jp/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
> 自分.com 205.210.31.143 - - [03/Aug/2022:17:11:40 +0900] "GET / HTTP/1.1" 200 1632 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers&#39; presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"

エラーログです。
> [Wed Aug 03 11:15:18.425442 2022] [suexec:notice] [pid 93796] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
> [Wed Aug 03 11:15:18.456320 2022] [ssl:warn] [pid 93796] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
> [Wed Aug 03 11:15:18.934010 2022] [ssl:warn] [pid 93840] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
> [Wed Aug 03 11:15:18.934042 2022] [ssl:warn] [pid 93840] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
> [Wed Aug 03 11:15:18.950120 2022] [mpm_prefork:notice] [pid 93840] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
> [Wed Aug 03 11:15:18.957992 2022] [core:notice] [pid 93840] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
> [Wed Aug 03 11:15:37.942552 2022] [suexec:notice] [pid 94751] AH01232: suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
> [Wed Aug 03 11:15:37.946613 2022] [ssl:warn] [pid 94751] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
> [Wed Aug 03 11:15:38.130890 2022] [ssl:warn] [pid 94795] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache]
> [Wed Aug 03 11:15:38.130926 2022] [ssl:warn] [pid 94795] AH01916: Init: (自分.com:443) You configured HTTP(80) on the standard HTTPS(443) port!
> [Wed Aug 03 11:15:38.142154 2022] [mpm_prefork:notice] [pid 94795] AH00163: Apache/2.4.54 (Unix) OpenSSL/1.0.2o configured -- resuming normal operations
> [Wed Aug 03 11:15:38.142208 2022] [core:notice] [pid 94795] AH00094: Command line: '/usr/local/apache/bin/httpd -f /home/config/users/自分/http/user-httpd.conf'
> [Wed Aug 03 12:27:12.800870 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/windex.php
> [Wed Aug 03 12:27:57.337118 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wp-blockdown.php
> [Wed Aug 03 12:27:58.521511 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/wpecho.php
> [Wed Aug 03 12:27:59.650311 2022] [cgi:error] [pid 94817] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/d2.php
> [Wed Aug 03 12:28:00.875537 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/infodat.php
> [Wed Aug 03 12:28:02.038647 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/webdata.php
> [Wed Aug 03 12:28:03.114980 2022] [cgi:error] [pid 95497] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/local.php
> [Wed Aug 03 12:28:04.114466 2022] [cgi:error] [pid 42309] [client 159.203.5.240:0] AH02811: script not found or unable to stat: /home/自分/www/web.php
> [Wed Aug 03 14:56:31.049684 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/
> [Wed Aug 03 14:56:31.593957 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/style.php, referer: http://自分.com/style.php?sig=shell519&file_name=accesson.php&domain=46osago.ru&shell_file=accesson20
> [Wed Aug 03 14:56:32.774727 2022] [cgi:error] [pid 42309] [client 93.89.114.58:0] AH02811: script not found or unable to stat: /home/自分/www/accesson.php, referer: http://自分.com/style.php?sig=beima&domain=46osago.ru&shell_file=accesson20&file_name=accesson.php
> [Wed Aug 03 15:40:18.792217 2022] [cgi:error] [pid 42309] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
> [Wed Aug 03 15:46:58.056361 2022] [cgi:error] [pid 95497] [client 14.3.114.129:0] AH02811: script not found or unable to stat: /home/自分/www/z9pvs.php
> 引用テキスト



サイトのファイルが外部の者に消されてしまったので、その原因と対策を知りたいです

WEBアプリケーションのセキュリティチェック項目の中に、

ログイン画面でアカウントの存在有無を検知されないこと
という項目がありますよね。

例えば、

- 認証に失敗したとき、アカウントの存在有無によってエラーメッセージを変えるな
- ハッシュ化されたパスワードの検証で、アカウントの存在有無によって応答時間を変えるな

とか、そういう指摘を受けることがあります。

でも、最近の大手サービスでも、アカウント名とパスワードが同じ画面にあるのではなく、まずはアカウント名を入力して次の画面でパスワードを入力させるというパターンが増えています。
![Googleサービスのログインエラー](https://ddjkaamml8q8x.cloudfront.net/questions/2023-02-13/52aae616-ea0d-4c4e-a599-bdc766d97620.png)
![Amazonのログインエラー](https://ddjkaamml8q8x.cloudfront.net/questions/2023-02-13/c0677999-bee1-47a3-8927-ed0a8cdf1835.png)

これって最初に書いた「ログイン画面でアカウントの存在有無を検知されないこと」に反していると思いますが、なぜAmazon, Google等のサービスではこのような設計が許容されているのでしょうか？


Webアプリケーションのログイン画面のセキュリティについて

PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。
エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「[php メールフォーム 作り方](https://www.google.co.jp/search?q=php+%E3%83%A1%E3%83%BC%E3%83%AB%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0+%E4%BD%9C%E3%82%8A%E6%96%B9&ie=utf-8&oe=utf-8&client=firefox-b-ab&gfe_rd=cr&ei=6NrkWKWOBuzZ8AfguCs)」でググって表示されるサイトを見ると、「んんんんん？？？」と思うところがあります。
これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。
そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。
周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω｀ )ﾍﾟｺ

このメールフォームは、下記を対象者としています。

- php メールフォーム 作り方 でググってコピペする方
- コピペして動けばいいと考えている方
- if文や関数など基本的な記述はわかるけど、クラスとか理解していない方
- 脆弱性？なにそれ？という方

そのために、このメールフォームは下記の点を意識して作成しました。

- **コピペしたら動く**
- **なるべく難しい記述はしない、記述量を減らす**
- 処理を中断する die を使っていないので、表示したい箇所にコピペすれば動く
- PHP5.2.xまで想定し、環境（magic_quotes_gpc、セーフモード）に依存しない
- 肝心の脆弱性対策はクリックジャッキング、CSRF、XSS、メールヘッダインジェクションを考慮

最終的にはコード＋説明した記事を作成してQittaに投稿する予定です。
問題があれば、詳しい方々からアドバイスやご指摘があるはずなので...

**皆様から見て、脆弱性や気になる点などあれば、アドバイスもらえると嬉しいです((_ _ (´ω｀ )ﾍﾟｺ**
至らないところがあれば、調べますので、ご指摘だけでも頂けると嬉しいです。
お願いします。

入力（`index.php`） → 確認（`confirm.php`） → 送信（`send.php`） と画面を遷移してメールを送ります。

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
	return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}

/* --------------------------------------------------
	トークンの作成（CSRF対策）

	※使用しているPHPのバージョン・環境にあわせて
	 トークンを選んでね。不要なトークは削除してね。
-------------------------------------------------- */

// PHP 7.0 以降
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(random_bytes(32));
}

// PHP 5.3 ～ 5.x ※OPENSSL導入済
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}

// PHP 5.3 未満
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = hash('sha256', session_id());
}

// トークンを代入
$token = $_SESSION['token'];

?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>入力画面</title>
</head>
<body>

<h1>お問い合わせ（入力画面）</h1>

<form method="post" action="confirm.php">
<table>
	<tr>
		<th>お名前（必須）</th>
		<td><input type="text" name="name"></td>
	</tr>
	<tr>
		<th>ふりがな（必須）</th>
		<td><input type="text" name="ruby"></td>
	</tr>
	<tr>
		<th>メールアドレス（必須）</th>
		<td><input type="text" name="mail"></td>
	</tr>
	<tr>
		<th>内容（必須）</th>
		<td><textarea name="content"></textarea></td>
	</tr>
</table>
<input type="hidden" name="token" value="<?php echo h($token); ?>">
<button>送信内容確認</button>
</form>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// HTML特殊文字をエスケープする関数
function h($str) {
    return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>確認画面</title>
</head>
<body>

<h1>お問い合わせ（確認画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POSTされたデータを変数に代入（magic_quotes_gpc = On ＋ NULLバイト 対策）
foreach (array('token','name','ruby','mail','content') as $v) {
    $$v = filter_input(INPUT_POST, $v, FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);
}

// トークンを確認し、確認画面を表示
if($token !== $_SESSION['token']) {

    echo '<p>お問い合わせの手順に誤りがあります。<br>お手数ですが、最初からやり直してください。</p>';

} else {

    $error_flag = 0;

    // 必須項目は未入力をチェック
    if ($name === '') {
        echo '<p>お名前をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($name) > 50) {
        echo '<p>お名前は 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($ruby === '') {
        echo '<p>ふりがなをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($ruby) > 50) {
        echo '<p>ふりがなは 50 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    if ($mail === '') {
        echo '<p>メールアドレスをご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($mail) > 100) {
        echo '<p>メールアドレスは 100 文字以内で入力してください。</p>';
        $error_flag = 1;
    } elseif (!filter_var($mail, FILTER_VALIDATE_EMAIL)) {
        echo '<p>メールアドレスの形式が正しくありません。</p>';
        $error_flag = 1;
    }

    if ($content === '') {
        echo '<p>内容をご入力してください。</p>';
        $error_flag = 1;
    } elseif (mb_strlen($content) > 500) {
        echo '<p>内容は 500 文字以内で入力してください。</p>';
        $error_flag = 1;
    }

    // エラーがある場合は、戻るボタンを表示し、エラーがない場合は、確認画面を表示
    if ($error_flag === 1) {
        echo '<button onClick="history.back(); return false;">戻る</button>';
    } else {
        // セッション変数に代入
        $_SESSION['name'] = $name;
        $_SESSION['ruby'] = $ruby;
        $_SESSION['mail'] = $mail;
        $_SESSION['content'] = $content;

        // 確認用画面の表示
    ?>

        <form method="post" action="send.php">
            <table>
                <tr>
                    <th>お名前</th>
                    <td><?php echo h($name); ?></td>
                </tr>
                <tr>
                    <th>ふりがな</th>
                    <td><?php echo h($ruby); ?></td>
                </tr>
                <tr>
                    <th>メールアドレス</th>
                    <td><?php echo h($mail); ?></td>
                </tr>
                <tr>
                    <th>内容</th>
                    <td><?php echo nl2br(h($content)); ?></td>
                </tr>
            </table>
            <input type="hidden" name="token" value="<?php echo h($token); ?>">
            <button>送信</button>
        </form>

<?php
    }
}
?>
</body>
</html>
```

```php
<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');

// セッション開始
session_start();

// mb_send_mail のエンコーディング
mb_language('ja');

// 内部文字エンコーディングを設定
mb_internal_encoding('UTF-8');
?>
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>送信画面</title>
</head>
<body>

<h1>お問い合わせ（送信画面）</h1>

<?php

// セッション変数がなければ、空文字を代入
if(!isset($_SESSION['token'])) {
    $_SESSION['token'] = '';
}

// POST['token']の値をtoken変数に代入
$token = filter_input(INPUT_POST, 'token', FILTER_DEFAULT, FILTER_FLAG_STRIP_LOW);

// 各セッション変数を各変数に代入
$name = isset($_SESSION['name']) && is_string($_SESSION['name']) ? $_SESSION['name'] : '';
$ruby = isset($_SESSION['ruby']) && is_string($_SESSION['ruby']) ? $_SESSION['ruby'] : '';
$mail = isset($_SESSION['mail']) && is_string($_SESSION['mail']) ? $_SESSION['mail'] : '';
$content = isset($_SESSION['content']) && is_string($_SESSION['content']) ? $_SESSION['content'] : '';

// トークンの値が一致しない場合は、エラー文を表示し、一致する場合は送信する
if($token !== $_SESSION['token']) {

    echo '<p>送信後に再度アクセスされたか、お問い合わせの手順に誤りがあります。<br>お手数ですが、最初の画面からご入力ください。<p>';

} else {

    /*  運営側へ送信するメールの設定  */

    // 送信先のメールアドレス
    $to      = 'xxxxxx@xxxxx.xxxx';
    // 件名
    $subject = '【お問い合わせからの送信】○○○○○○○○○○';
    // 本文
    $message = "◆お名前\n$name\n\n◆フリガナ\n$ruby\n\n◆メールアドレス\n$mail\n\n◆内容\n$content";
    // オプション
    $option = '-f'. $to;


    /*  問い合わせされた方へ自動返信するメールの設定  */

    // 件名
    $auto_subject = '【お問い合わせ】○○○○○○○○○○';
    // 送信元のメールアドレス
    $auto_from    = 'From:' . $to;
    // 本文
    $auto_message = "
※このメールは自動返信によるものです。

$name 様

このたびは、お問合せいただき、誠にありがとうございました。

お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。
    ";

    /* セーフモードがONの場合は、mb_send_mailの第5引数が使えないため、処理を分岐して送信 */
    if(ini_get('safe_mode')) {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail") && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    } else {

        /*  運営側と自動返信のメールの送信が完了したら、送信完了の文章を表示する  */
        if(mb_send_mail($to, $subject, $message, "From:$mail", $option) && mb_send_mail($mail, $auto_subject, $auto_message, $auto_from, $option)) {
            echo '<p>このたびは、お問合せいただき、誠にありがとうございました。<br>お送りいただきました内容を確認の上、担当者より折り返しご連絡させていただきます。</p>';
        } else {
            echo '<p>大変申し訳ございませんが、メールの送信に失敗しました。<br>お手数ですが最初からやり直してください。</p>';
        }

    }

}

// セッションの破棄
$_SESSION = array();
session_destroy();

?>
</body>
</html>
```

## **2017.04.11 追記**

徳丸氏による、脆弱性の解説です。

- [teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記](http://blog.tokumaru.org/2017/04/teratailcsrf.html)

ありがとうございます((_ _ (´ω｀ )ﾍﾟｺ

セキュリティー