home
スポンサーリンク
2016-01-21

PHPでの最低限のセキュリティ対策のやり方(前編)

PHPにおける基本的なセキュリティ対策の方法について、備忘録としてまとめます。

PHPでこれからWebアプリケーションやWebサイトを作成しようと考えている方は、各項目について対策は万全か、是非一度ご確認ください。

本記事(前編)では、以下に関する脆弱性について取り扱います。

  • SQLインジェクション
  • OSコマンドインジェクション
  • ディレクトリトラバーサル
  • セッション管理の不備
  • クロスサイトスクリプティング(XSS)

以下の脆弱性については、後編の記事をご覧ください。

  • クロスサイトリクエストフォージェリ(CSRF)
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • クリックジャッキング

参考サイト

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構

SQLインジェクション

ユーザーによるSQLの不正実行が可能な状態となっている、「SQLインジェクションの脆弱性」を淘汰するために、PHPで必要とされる処置は以下のとおりです。

プレースホルダーやプリペアドステートメントの利用(根本的解決)

MySQLi(MySQL改良版拡張モジュール)における、mysqli::prepareメソッドを利用して、SQLを実行します。

SQL文字列のエスケープ処理を実施(根本的解決)

MySQLi(MySQL改良版拡張モジュール)における、mysqli::real_escape_stringメソッドを利用して、SQLを実行します。

エラーメッセージを出力しない(保険的対策)

PHPの設定でエラーや警告内容を画面上に表示されないようにします。

php.iniで設定する場合は、php.ini内に下記の記述をします。

PHPのソースコード内で設定する場合は、下記の処理をソースコードに追加します。

OSコマンドインジェクション

ユーザーによる意図しないOSコマンドの実行が可能な状態となっている、「OSコマンドインジェクションの脆弱性」を淘汰するために、PHPで必要とされる処置は以下のとおりです。

exec関数等のOSコマンドを実行できる関数を使用しない(根本的解決)

OSコマンドを実行できる、以下の関数を使用しないようにします。

exec関数等のOSコマンドを実行できる関数を使用する場合は、OSコマンド文字列をエスケープする(保険的対策)

escapeshellcmd関数もしくはescapeshellarg関数を使用して、OSコマンド文字列をエスケープします。

ディレクトリトラバーサル

ユーザーによる意図しないディレクトリへのファイル参照が可能な状態となっている、「ディレクトリトラバーサルの脆弱性」を淘汰するために、PHPで必要とされる処置は以下のとおりです。

外部からのパラメーターでファイルパスを直接指定する実装を避ける(根本的解決)

そもそも、参照するファイルを以下のように変数にしないことで、回避できます。

外部からのパラメーターでファイル名のみを指定する実装にする(根本的解決)

basename関数を使用し、外部からのパラメーターにディレクトリ情報が含まれないようにすることで、回避できます。

ファイル名のチェックを行う(保険的対策)

正規表現などで、パスにディレクトリトラバーサルの要因が含まれないように考慮します。

セッション管理の不備

セッションハイジャックを回避するために、PHPで必要とされる処置は以下のとおりです。

セッションIDを推測が困難なものにする(根本的解決)

推測困難なセッションIDを生成するよう設定します。

php.iniで設定する場合は、php.ini内に下記の記述をします。

PHPのソースコード内で設定する場合は、下記の処理をソースコードに追加します。

セッションIDをURLパラメーターに格納しない(根本的解決)

セッションIDをURLパラメーターに格納しない設定をします。

php.iniで設定する場合は、php.ini内に下記の記述をします。

PHPのソースコード内で設定する場合は、下記の処理をソースコードに追加します。

HTTPS通信で利用するCookieにはsecure属性を加える(根本的解決)

HTTPS通信で利用するCookieにはsecure属性を加える設定をします。

php.iniで設定する場合は、php.ini内に下記の記述をします。

PHPのソースコード内で設定する場合は、下記の処理をソースコードに追加します。

もしくは、setcookie関数でクッキーを送信する際に、以下のように第6引数にtrueをセットします。

ログイン後にセッションIDを再生成する(根本的解決)

ログイン処理の後にsession_regenerate_id関数を実行し、セッションIDを再生成します。

クロスサイトスクリプティング(XSS)

ユーザーの入力による意図しないスクリプトの実行が可能な状態となっている、「クロスサイトスクリプティングの脆弱性」を淘汰するために、PHPで必要とされる処置は以下のとおりです。

(HTMLテキストの入力を許可しない場合)ウェブページに出力するテキストに対して、エスケープ処理を実施する(根本的解決)

htmlspecialchars関数もしくはhtmlentities関数を用いて、出力される要素に対してエスケープ処理を実施します。

なお、どちらの関数もデフォルトではシングルクォート'がエスケープされず、脆弱性が含まれてしまう可能性が出てきてしまうので、第二引数にENT_QUOTES、第三引数に文字コードをセットしましょう。

(HTMLテキストの入力を許可する場合)入力されたHTMLを解析し、スクリプトを含まない必要な要素のみを抽出する(根本的解決)

DOMを操作できるクラス群などを利用して入力されたHTMLテキストを解析し、script要素やstyle要素を取り除き、必要とされる要素のみを残すような処理を実施します。

正規表現などで、入力値のチェックを行う(保険的対策)

preg_match関数preg_replace関数などを用いて、スクリプトが含まれない入力値であるかチェックします。

HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)の指定を行う(根本的解決)

HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)の指定を行う記述を、HTMLのドキュメント出力前に実行します。

発行するCookieにHttpOnly属性を加える(保険的対策)

発行するCookieにHttpOnly属性を加える設定をします。

php.iniで設定する場合は、php.ini内に下記の記述をします。

PHPのソースコード内で設定する場合は、下記の処理をソースコードに追加します。

WebブラウザのXSSフィルター機能を有効にするレスポンスヘッダを返す(保険的対策)

HTTPレスポンスヘッダのX-XSS-Protectionフィールド出力の記述を、HTMLのドキュメント出力前に実行します。

まとめ

本記事では、

  • SQLインジェクション
  • OSコマンドインジェクション
  • ディレクトリトラバーサル
  • セッション管理の不備
  • クロスサイトスクリプティング(XSS)

について、PHPにおける具体的なセキュリティ対策を述べていきました。

よろしければ、後編の記事もご覧ください。

コメントを残す

スポンサーリンク
スポンサーリンク
ツイートする
シェアする
オススメする
ブックマークする
購読する