ウォッチ
https://qiita.com/Naughty1029/items/08b0ddeb8054 …
で紹介されている。register.phpで$_POST['token']と$_SESSION['token']が一致しなくて、エラーになるのですが、そもそもpostとsessionのtokenがどうすれば一致し、なぜ一致していないのかよく分かりません。サイトのコーディングは他の方は機能していますか?新規登録なので、一致しなくていいものなのでは?とも思えるのですが、アドバイスやコーディングの間違え等があるならば、教えていただきたいです。よろしくお願いいたします。
- 画像を添付する (ファイルサイズ:10MB以内、ファイル形式:JPG/GIF/PNG)
- 今の自分の気分スタンプを選ぼう!
あと4000文字
A 回答 (4件)
- 最新から表示
- 回答順に表示
No.4
- 回答日時:
ご質問の処理は、安全なウェブサイトを作るうえで必要な
CSRF 脆弱性の対策です。
安全なウェブサイトの作り方 - 1.6 CSRF
https://www.ipa.go.jp/security/vuln/websecurity/ …
根本的解決 6-(i)-a 処理を実行するページをPOSTメソッドでアクセスするようにし、その「hiddenパラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。
一致するとは、
「入力画面を表示して、フォーム内容を記載し、投稿ボタンを押す」
という想定どおりの流れを経た POST 送信である、ということです。
一致しないとは、
想定通りの流れでない不正な POST 送信ということです。
具体的な例を二つほど上げます。
例1) ブラウザ操作ミス
ブラウザ履歴をたどり、登録後画面を再表示してしまった
→ 表示するために再度 POST 送信を送った
→ POST 内に含まれる token が古いままなので SESSION と一致しない
→ エラー発生し登録失敗
例2) 悪意ある攻撃
攻撃者の用意した罠サイト or メールで、ボタンを押してしまった
→ 異常な登録を行う POST 送信がウェブサイトに送られた
→ POST 内に含まれる token が無い or 適当な値なので SESSION と一致しない
→ エラー発生し登録失敗
-
-
- 0
- 件
-
No.3
- 回答日時:
スマホからの都合上、Postはポスト、Sessionはセッションとします。
セッション変数は、ユーザーがあなたのWebサーバーにアクセスした時に作成され、ブラウザを閉じるなどの何らかの操作をするまで変数の値が保持される特別な変数です。
ポスト変数はユーザーがPostでsubmitした情報がPHPの処理により代入される変数です。
どちらもある操作によって変数の値が決まります。
session_startをした時から入っているように見えたのなら、あなたがそのウェブサイトにアクセスし、別の処理により、セッション変数への代入が行われたので、その内容をセッション変数が保持しているに過ぎません。
非技術者にとって学習難易度が高いかもしれませんが、Laravelのようなフレームワークを使えばここら辺のセキュリティ機能を簡単に実装出来ます(でも、環境構築とか、やり方分からないか。。。)
-
-
- 0
- 件
-
No.2
- 回答日時:
htmlspecialcharsでエンコードしているのでデコードをするか、セッションの方と同じくエンコードしてから比較する必要があるかもしれません。
-
-
- 0
- 件
-
この回答へのお礼
お礼日時:2024/07/07 18:38
いつも回答ありがとうございます。
本職の技術者でないため、詳しく教えて欲しいです。いずれの自身の会社のホームページの作成で奮闘しています。セキュリティもある程度あるログイン機能が欲しいのです。
何とかvscodeを使用してデバッグは行うのですが、
このプログラムをブラウザで開き、入力画面にデータを入れてsubmitしてデバッグを開始すると、プログラムの頭でも、既に$_POSTのtokenにデータが入っているのですが、自動生成されたものなのでしょうか?$_SESSIONはsession_start()でからデータが入っており、値は自動生成のように思えるので、値は違って当然なのでは?という疑問が拭えません。
No.1
- 回答日時:
URLを全て見ているとキリがないですが、
文章から察するに、作成したトークンをセッションに保持し、画面表示時に隠しデータとしてユーザーに送ります。この時サーバーはセッションを保持しますから、ユーザーがsubmitボタンを押した際に、この一致をチェックすることで、悪意のあるなりすまし攻撃を防ぐという、バリデーションと思います。
ただのセキュリティの都合ですから、学習用途で入れる必要はありません。
一致しないと端的に言っても例えば、セッションとポストデ渡ってくる値を出力して見比べるとか、どの段階でその変数にその値が入るのかをチェックするなど、
技術者なのであれば、そのデバッグ行為はご自身で行ってください。
以下蛇足
うちの職場にもデバッグ行為をせずにブラックボックステストの手順と結果だけを報告してくる無能の先輩が居ます。
こういう奴は生産性を落とす害悪でしかありません。技術者なら自分で調査できるはずですし、自分と同じか、それ以上の給料を貰ってるなら、それ分の働きはして欲しいものでふ。
-
-
- 0
- 件
-
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(ネットショッピング・通販・ECサイト) JRE POINTサイトがスイカ登録するとエラー500が連発して登録出来ません。 1 2022/09/11 19:22
- PHP 「ログイン機能を持たせる」説明が気難しいです。 2 2022/10/11 02:59
- PHP WordpressのPHPを安全に編集する方法 1 2022/08/04 01:43
- PHP htmlのエラーについて(デバッグ) 1 2023/11/13 20:54
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- その他(IT・Webサービス) この教えてgoo!のプロフィール画像とプロフィールがエラーになって登録できません。 1 2024/06/28 16:09
- ハッキング・フィッシング詐欺 この手のものは初めてなのでどうすればいいのか分かりません 4 2024/01/16 02:24
- その他(Microsoft Office) 同じ番号に並び替え 1 2022/10/21 22:37
- 知的財産権 商標登録について ある物を販売するとします。その商品に付けた名前が、他の誰かが商標登録されたものとし 7 2022/10/09 15:34
- iPhone(アイフォーン) iPhone/iPadの標準メールアプリでのアカウント新規登録について pop/imap選択 1 2023/06/22 08:00
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
phpに関わる所での、form actio...
-
ファイルアップロードの上限を...
-
PHPのエラーの解消法について教...
-
phpの imap_search で漢字コード
-
ファイルの書き込みについて教...
-
awsにApacheとPHPを入れて、何...
-
PHP8を使うと、大量のWarningが...
-
PHPを使って、別サイトの一部を...
-
PHP ページング データベース
-
PHP & MySQL: Server-side Web ...
-
csvファイルについて教えて下さ...
-
共通の処理をまとめる方法がわ...
-
こちらはただの直列処理ですか?
-
フォームで戻った際に入力済み...
-
データベースを用いたwebページ
-
htmlspecialcharsが機能してい...
-
ゆゆにゃ。
-
【初心者】XAMPPのapacheの(恐...
-
プログラミング言語で、使える...
-
PHPでこのコード自体に意味は無...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ゆゆにゃ。
-
phpでcookieがうまく保存されない
-
フォームで戻った際に入力済み...
-
PHP8を使うと、大量のWarningが...
-
PHPで画像の渡しが上手く行きま...
-
PHPのエラーの解消法について教...
-
PHPのセッション有効期限について
-
入力した部分を表示させたまま...
-
PHPSpreadsheetを使って関数を...
-
phpinfo で MySQL のバージョン...
-
PostgreSQLからCSV形式でエクス...
-
ワードプレスサイト PHP8.0.25...
-
PHP MySQLに画像を直接保存
-
php 入力画面から確認表示画面...
-
if(preg_match("/[^0-9]/",$gu_...
-
htmlspecialcharsが機能してい...
-
どうして送信されないのでしょ...
-
php 確認表示画面で値をSESSION...
-
PHPを使って、別サイトの一部を...
-
PHP MySql ページング
おすすめ情報
