安全なお問い合わせフォームを安くつくる方法。

Question

はじめて投稿します。よろしくお願いします（>_<）

会社の事情で、素人同然の私が「Webディレクター」的なことをしなければならないという状況になり、とっても困っています。

--------ミッション
会社からのミッションは、Webサイトに「お問い合わせフォーム」を設置するというものです。
※ちなみに私は、お問い合わせフォームというのが、何と何で成り立っていて、どんな仕組みで動いているのか、それさえ分からない素人です。

個人情報を入力させることになるので、出来るだけ安全で、出来るだけ安く、つくれたらと思います。

※ちなみに、現状は「mailto:」です。
・なんかカッコ悪い
・お客さんから「使いにくい」とクレームがある
・お客さんのメアドや名前をラクに管理したい
などの理由から、このたびお問い合わせフォームを設置することになりました。
お客さんの情報は、総務の女の子がエクセルに入力して、管理しているような状況ですので、それもどうにかしたいです。


--------いまの状況
自分で出来る限り調べましたら、
・perlとCGIを使うのがメジャーな方法
・SSLを使うと、クライアントとサーバー間は安全
・レンタルサーバはSSL対応（エックスサーバという会社だそうです）
・SSLを使えば安全というわけじゃない
・HTMLでフォームのページをつくってから、証明書をもらう？？？（とは何のことだろう・・・）

これだけのキーワードを拾うことができました・・・
がしかし、限界です・・・^^;;;


--------知りたいこと
ちなみに、私ができるのは、HTMLでフォームをコーディングすることだけです。
お問い合わせフォームには何が必要なのか・・・
そして何を外注して、何を自分でやればいいのか・・・
段取りをご教授ください！

abril · Accepted Answer

単にお問い合わせフォームを作りたい・情報の管理を効率よくしたい、というご要望だけでなく、件名が「安全なお問い合わせフォーム」という事ですし、お調べになった項目の中にも「SSLを使えば安全というわけじゃない」とありますので、個人情報の流出を防ぐ対策も重要視している、という事ですよね？

入力フォームを作ってデータを受け取り且つ管理が楽になる様なシステムを作る、というだけであればANo.1の方が沢山挙げて下さっている様に、サンプル・プログラムは沢山ありますし、最低限の知識があればカスタマイズ可能です。しかし、セキュリティ対策…という事になるとやはりそれなりの知識とスキルが要求されるでしょう。そうなると専門のノウハウを持ったところへアウトソーシングするのもやむを得ない場合も出てくるかもしれません。

XSS（クロスサイトスクリプティング）、SQLインジェクション、といった様なキーワードでググってみるとこの点の更なるヒントが得られると思います。
下記のコンテンツなども一読されておくと参考になるかもしれません。
【参考】http://www.ipa.go.jp/security/index.html

ちなみに、

> ・HTMLでフォームのページをつくってから、証明書をもらう？？？（とは何のことだろう・・・）

ここで仰っている「証明書」とはSSLのデジタル証明書の事でしょう。SSL自体は質問者様ご使用のエックスサーバでもプランによって利用可能の様です（http://www.xserver.ne.jp/functions.php）が、実際にそのSSL使用のコンテンツを公開する際には”このSSLは安全です”といった太鼓判の様なものが必要です。それを、然るべきところ（レンタルサーバの会社とはまた別です）に手続きを申請して証明書を発行してもらい、コンテンツ上に所定のセキュアドシール（「証明書があるぞ」という様な事を示すマーク（リンク付き）の様なものです）を貼って、閲覧者へ安心感を与える事ができます。
有名なところではベリサイン（http://www.verisign.co.jp/）などがありますね。多分、ここのシールはよく目にしておられるのではないかと思います。

abril · Answer

ANo.2です。

> べリサインは見たことがありました！
> けっこうお金かかるんですね。（そりゃそうですよね・・・）

ベリサインは有名どころ、という事もあって安価な方ではないですね。もう少し低価格の会社もありますよ。下記の様なサイトで各社の比較チャートを見ることもできますのでご検討されてみてはいかがでしょう。
【参考】http://sslreview.jp/content/table/index.html

> XSSとSQLインジェクションを調べました。
> WEBサーバとクライアント間はSSLで守られても、WEBサーバにあるデータベースから個人情報を盗んだりすることはできる

そんな感じです。あとは、データを盗む以外にもサーバに対して攻撃をしかけてサイトに意図しないコンテンツを表示させる、といった行為も可能になります。
ごく大雑把に説明すると、入力フォームの欄は、クライアント（閲覧者の端末）側からデータをいれてサーバ側に送信する事ができますよね。その時に、XSS対策を何も施していないと、普通のテキストデータではなく実行力を持ったスクリプトを入力して送信する事も可能なんですね。
例えば、以下はWikiに載ってた例をそのまま引用させて頂きますが、文章を書き込めるBBSの様なものがありますよね。
そこの入力欄でただ”Hello”と入力した場合は単に、ブラウザには「Hello」と表示されるだけですが、入力欄にJavaScriptのコードで”<script>alert("警告")</script>）”と入力した場合、ブラウザ側はこの「スクリプト」を実行してしまうので、画面上に「警告」というメッセージがポップアップで表示されてしまいます。
【参考】http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD% …

SQLインジェクションは、やはり入力フォームから”別のSQL文（SQLというのはDBにアクセスして情報を引き出したり登録したりするのに特化した言語とでも解釈しておいて下さい）を「注入 (inject)」”する事で、制作者側が本来意図していなかったSQL文を発行してDBの操作をする事ができる攻撃方法です。注入されたSQL文によって、DBに登録された情報の漏洩・改竄・破壊という事も可能になってしまうのです。
【参考】http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83% …

これらの事態を防ぐ為に、通常は制作段階で入力された値をそのまま受け取らない様に各種サニタイズ（入力されたデータの危険な部分を無力化する操作）というのが施されます。例えば、HTMLタグを埋め込まれても実態参照に置き換えてただの文字列にしたり、SQL文が入力された場合は実行力のある文字に対して適切なエスケープをする事などで無効化したり、といった様な事です。

> XSSとかSQLインジェクション対策をする必要があるのだけど、それだと、専門家に頼むのもやむをえない

社内でそれに対応可能なスキルを持つ方がいるとか、それらの対策の為に必要な学習をして習得をした後に設置する、という事が可能な状況でなければそれしか選択肢がない様に思われます。
「安全」にはそれなりの対価を払う事が必要でしょうし、「安価」にはリスクを抱える事への覚悟もしくは社内で賄える様になる為の時間が必要でしょう。

trapinmind · Answer

「メール フォーム cgi」 「メール フォーム PHP」などで検索すれば、無料のメールフォームはたくさん発見できると思います。

http://www.synck.com/contents/download/cgi-perl/mailform.html
http://www.rocomotion.jp/phpms/pm_mail.php
http://www.keitai-site.net/php/mailform_php/
http://www.yumemaboroshi.net/cgi4315/

安全なお問い合わせフォームを安くつくる方法。

ANo.2です。

「メール フォーム cgi」 「メール フォーム PHP」などで検索すれば、無料のメールフォームはたくさん発見できると思います。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

「メールフォーム cgi」「メールフォーム PHP」などで検索すれば、無料のメールフォームはたくさん発見できると思います。