Webデザイナが知っておくべきPHPセキュリティ

htmlspecialchars()関数の第2引数について

builder編集部の大野です。初出時、2ページ目最下のソースコードにおいて、htmlspecialchars($_REQUEST['my_name'])となっていましたが、特別な理由がない限りhtmlspecialchars($_REQUEST['my_name'], ENT_QUOTES)とすべきなので、第2引数を追加しました。

確かに、タグを防ぐだけなら問題ないですが、クオート（'）を防ぐにはENT_QUOTESを第2引数に指定すべきです。さらにいえば、第3引数に文字エンコーディングを指定するほうが望ましいです。つまり、次のコードがもっとも望ましいといえます。文字エンコーディングを直接ここに書き込むのはどうか、という議論もありますが……

http://jp.php.net/htmlspecialchars

htmlspecialchars($_REQUEST['my_name'], ENT_QUOTES, 'EUCJP')

本文中に出ている
mysql_query("SELECT * FROM login_table WHERE id=".mysql_real_escape_string($_REQUEST['id'])." AND password=".mysql_real_escape_string($_REQUEST['password'])");

ですが。
最後のダブルクォートが不要である(というかこのままだとシンタックスエラー)であることを除いてもなお、問題があります。
というかこのままではSQL-Injectionの脆弱性は全然とれておりません。

セキュリティの記事であれば、きちんと検証なりされるか、或いは相応の識者に確認などを取られてから記事を書かれる事を強くお勧めいたします。

といいますか。
先日のC++といい。中身のレビューが全く出来てないと思うのですが。そのあたり、編集の方はどのようにお感じになられているのでしょうか？

がるです。
大変に手厳しい発言になり恐縮ではあるのですが。

> また、ご指摘のセキュリティ面の脆弱性についてですが、以下の資料を参考にさせていただいております。
「参考にした資料があるから問題はない」とでもおっしゃりたいのでしょうか？
一応念のために、ごく簡単にミニマムコードを書いて「実際にクラックが可能であることを確認してから」コメントを差し上げているのですが。
逆に。御社側で多少なり、そういったチェックは本当に行われているのでしょうか？
筆者様にそのような確認はちゃんととられているのでしょうか？

> もちろん、実際にはmysql_real_escape_string()のほかにも、addslashes()や文字コードへの対策などもするべきかと思います。しかし、本企画の「Webデザイナ（マークアップエンジニア含む）が少なくとも知っておきたいWebテクノロジの知識を、PHPを例に4回にわたって紹介」するという主旨をご理解頂ければ幸いです。
そういう問題ではありません。
もっと、きわめて基本的な部分で欠落がございます。
こんな生半可で半可通な知識は、まさに「生兵法は怪我の元」なだけ。こんなレベルなら、ない方がマシです。

> ほかの問題がございましたらご指摘いただければ幸いです。
ほかの問題ではなくて。前回コメントで指摘させていただいた内容が、以前の、C++の記事の初めの修正と同様「問題の本質を理解しておらず」「故に修正箇所などが全く的を射ていない」のです。

…と書き立てても御理解いただけないでしょうから、正解を書いておきます。

mysql_query("SELECT * FROM login_table WHERE id='".mysql_real_escape_string($_REQUEST['id'])."' AND password='".mysql_real_escape_string($_REQUEST['password']) . "';");

ポイントはWHERE句において文字列をシングルクォートで囲っているかいないか、です。
試しに。筆者や大野様が「問題ない」とおっしゃっている、元のソースコードで。
IDに“hoge OR (1=1”、passwordに“1) OR 1=1”という文字列を入れてみてください。

SELECT * FROM login_table WHERE id=hoge OR (1=1 AND password=1) OR 1=1;

ちなみに、修正したソースの場合、以下の通りになります。

SELECT * FROM login_table WHERE id='hoge OR (1=1' AND password='1) OR 1=1';

こんなSQLが通るものが、本当にセキュアなのですか？
これが「Webデザイナ（マークアップエンジニア含む）が少なくとも知っておきたいWebテクノロジの知識」なのですか？

「まずい」と指摘された場合に。「すでにミスを起こしてしまっている社内リソースで全てを片付ける」のではなくて、まず初めに「どこがまずいのか」を指摘者に質問するくらいの余裕があってもよろしいのではないでしょうか？
拝見しているかぎりでは。指摘を受けた後も結局は「知識的に足りない社内リソースだけで物事を片付けようとし」「そのために結果として的を大きくはずしている」ようにしか見受けられません。

ZDNetさんといえばそれなりにお名前も通っている会社様であると私は認識しております。
もう少し、出すモノに対する品質へのプライドとか責任感とかそういったものが向上する事を心から願ってやみません。

筆者です。

> がるさん

ご指摘、および詳しい解説をいただきましてありがとうございました。
完全に私の検証ミスで、セキュリティ以前に IDとパスワードに文字列が使えないプログラムを掲載してしまいました。

また、ご指摘の通りセキュリティ的にも大変危険なスクリプトになってしまい、大変申し訳なく思っております。今後は、しっかり気をつけて記事を執筆して参りますね。

この度は、誠にありがとうございました