エンジニア足立のコーディング日記

Security(セキュリティ)

PHP脆弱性対応:フォームのセキュリティー対策 入力値の妥当性チェック

前回のXSS脆弱性対策(セキュリティー対策)の続きで、

今回は入力値の妥当性チェックについてです。

 

しっかりとチェック処理を入れておかないと、

スパムメールの踏み台にされたりフィッシング詐欺メールの送信処理に使われてしまいます

 

それで、

妥当性チェックといっても、

チェックすることは多すぎて大変です!!

 

例えば、

メールアドレスが正しく入力されているかをチェックする場合には、

<?php
/*
*説明:メールアドレスの形式をチェックする
* IN :$mail チェック対象となるメールアドレス
* OUT:エラーが無ければ「true」、エラーがあれば「false」を返す
*/
function checkMailAddress($mail = ""){

 if(preg_match("/^([a-zA-Z0-9])+([a-zA-Z0-9\._-])*@([a-zA-Z0-9_-])+([a-zA-Z0-9\._-]+)+$/", $mail)){

  return true;

 }else{

  return false;

 }

}
?>

という関数を作成して、

<?php
if(!checkMailAddress($mail)){
  echo "メールアドレスを半角英数字で正しく入力してください。";
}
?>

とすればチェックできます。

 

ただし、

メールアドレスのチェックは本来はこれだけでは不十分で、

完全なチェックコードを書くのは相当な作業量になるようです。

 

また、

電話番号だと、

<?php
if(preg_match("/^0\d{8,9}$/", $tel_num)){

  return true;

}else{

  return false;

}
?>

とします。

 

これは、

「0」から始まり、9桁もしくは10桁で入力されていることを確認しています。

 

これは

数字のみ入力を許可する場合の処理で、

例えば「-」付きの電話番号をチェックする場合には、

<?php
if(preg_match("/\d{2,4}-\d{2,4}-\d{4}/", $number)){

 return true;

}else{

 return false;

}
?>

となります。

これはファックス番号もほとんど同じです。

 

因みに携帯電話だと、

<?php
/*
*説明:携帯番号の形式をチェックする
* IN :$number チェック対象となる携帯番号
* OUT:エラーが無ければ「true」、エラーがあれば「false」を返す
*/
function checkKeitaiNumber($number = ""){

 if(preg_match("/^0(7|8|9)0\d{8}$/", $number)){

  return true;

 }else{

  return false;

 }

}
?>

で対応可能だと思います。

 

その他にも、

名前やふりがなに全角以外の文字が入っていないかは、

<?php
/*
*説明:全角文字のみかをチェックする
* IN :$string チェック対象となる文字列
* OUT:エラーが無ければ「true」、エラーがあれば「false」を返す
*/
function checkHalf($string){

 if(mb_convert_kana($string, "AK", "文字コード") != $string){

  return false;

 }else{

  return true;

 }

}
?>

という関数で対応しています。

mb_convert_kanaでの変換前の文字列と変換後の文字列とで差異が出れば、

全角以外が混ざっていると判定しています。

 

その他にも、

例えば、性別を問うラジオボタンを設けた場合、

性別は「男」か「女」だけなので、

それ以外の値が送られてきていないか?

 

また、

郵便番号は「3桁-4桁」で入力されているか?

 

数字のみのを入力する項目は半角数字で入力されているか?
※is_numeric()関数でのチェックだとまずいらしいので、正規表現でチェックして下さい。

 

年齢であれば、3桁以内の半角英数のみで入力されているか?
※「preg_match("/^\d{1,3}$/", $age)」とすればOK!!

 

入力された日付けは妥当か?
※日付けはcheckdate()関数を使えば便利ですね!!

 

などのチェックが必要です。

 

それと、

テキストボックスの項目には必ず「maxlength="xx"」を設定しておき、

設定したmaxlength以上の文字数のテキストが送られてきていないか?

のチェックも必要です。
※「maxlength」の値は、ブラウザ上で簡単に改変できます。

 

取り敢えず、

妥当性チェックといってもチェックすることは山程あり、

結構面倒な作業ではあります。

 

【関連記事】
この記事を書いている人
株式会社ディープ

名前ダッチ

メールアドレスadachi@deep-deep.jp

Twitterはこちら >>

  • コメント: 0

関連記事

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の記事

  1. 共用サーバ(レンタルサーバ)

    2021.05.20

    高速レンタルサーバー【ConoHa WING】で有…

    私が一番おすすめしているレンタルサーバーの一つ「ConoHa WING」の紹…

  2. サーバー

    2021.02.6

    VPSなら「Conoha VPS」がおすすめ!

    ConohaのVPSについてConohaのVPSについてまとめてみました…

  3. リマーケッター

    2021.02.5

    Twitter上のつぶやきを自動収集する「Rema…

    「リマーケッター」というTwitter連携サービス知り合いがTw…

  4. 不動産会社向けのWordPressテーマ

    2021.02.3

    不動産会社におすすめのWordPressテーマ

    不動産会社向けのテーマを紹介します。といっても、日本語で作成されている不…

  5. レンタルサーバ:おすすめの共用サーバ

    2021.02.1

    不動産会社におすすめのレンタルサーバーは?

    不動産会社におすすめのレンタルサーバーは?不動産会社さんのWEB…

  6. ホームページを活用

    2020.12.8

    KUSANAGIでCGIプログラム(Perl)を実…

    KUSANAGIサーバでCGIプログラムを動かす方法をまとめておきます。…

  7. Perl(パール)

    2020.12.8

    【Perl】install_driver(mysq…

    Perlプログラムが乗っているサイトを別サーバに移管した際に、以下のようなエ…

  8. Perl(パール)

    2020.12.8

    【Perl】Can't locate CGI/Ca…

    「500 Internal Server Error」が発生。。。…

  9. ホームページを活用

    2020.12.7

    サイトのトップページを下層ディレクトリへ転送させる…

    個人的には違和感があって嫌なのですが、ごく稀にサイトのトップページを…

  10. データ転送

    2020.12.4

    rsyncでデータ転送時にSSHポート番号を指定す…

    データを転送する際に、rsyncを利用して転送する機会って多いと思います…

ConoHa WING 2周年キャンペーン中

アーカイブ

PAGE TOP