カテゴリー:
セキュリティ
閲覧数:858 配信日:2014-05-21 23:05
脆弱性コード例
予め、$_GET["name"]に不正なJavaScriptを格納させておく
<?php
$_GET["name"] ='<script language="JavaScript">alert("危険な処理")</script>';
?>[
エスケープせずに、そのまま画面出力すると、任意のJavaScriptが実行されてしまう
<?php
$name = $_GET["name"];
print("ようこそ、{$name}さん!");
?>
対策を施したコード例
クロスサイト・スクリプティング対策を施したコード例
・$_GET["name"]に不正なJavaScriptを格納
<?php
$_GET["name"] ='<script language="JavaScript">alert("危険な処理")</script>';
?>
対策1.htmlspecialchars()関数を使って,<,>,",',&をHTMLエスケープ
// もしくは,htmlspecialchars()関数を使って,<,>,",',&をHTMLエスケープする
$name = htmlspecialchars($_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、<script language="JavaScript">alert("危険な処理")</script>さん!
対策2.str_replace()関数を使って,<と>を削除
// str_replace()関数を使って,<と>を削除する
$name = str_replace(array("<", ">"), "", $_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、script language="JavaScript"alert("危険な処理")/scriptさん!
対策3.strip_tags()関数を使ってタグを取り除く
// もしくは,strip_tags()関数を使ってタグを取り除く
$name = strip_tags($_GET["name"]);
print("ようこそ、{$name}さん!"); //ようこそ、alert("危険な処理")さん!
HTMLエスケープを行う関数
主に3種類
1 htmlspecialchars
・「<」「> 」をそれぞれ「&lt;」「&gt;」へ置換
・ 変換に使用されるエンコーディング指定を省略した場合のデフォルト値は、PHP 5.4.0 以前のバージョンでは ISO-8859-1 なので、注意が必要
$hoge=htmlspecialchars($_GET["hoge"],ENT_QUOTES,'UTF-8');
2 str_replace
・「<」と「>」を削除
3 strip_tags
・「<」から「>」で囲まれた範囲を削除