https://qiita.com/Naughty1029/items/08b0ddeb8054 …
で紹介されている。register.phpで$_POST['token']と$_SESSION['token']が一致しなくて、エラーになるのですが、そもそもpostとsessionのtokenがどうすれば一致し、なぜ一致していないのかよく分かりません。サイトのコーディングは他の方は機能していますか?新規登録なので、一致しなくていいものなのでは?とも思えるのですが、アドバイスやコーディングの間違え等があるならば、教えていただきたいです。よろしくお願いいたします。
No.3ベストアンサー
- 回答日時:
スマホからの都合上、Postはポスト、Sessionはセッションとします。
セッション変数は、ユーザーがあなたのWebサーバーにアクセスした時に作成され、ブラウザを閉じるなどの何らかの操作をするまで変数の値が保持される特別な変数です。
ポスト変数はユーザーがPostでsubmitした情報がPHPの処理により代入される変数です。
どちらもある操作によって変数の値が決まります。
session_startをした時から入っているように見えたのなら、あなたがそのウェブサイトにアクセスし、別の処理により、セッション変数への代入が行われたので、その内容をセッション変数が保持しているに過ぎません。
非技術者にとって学習難易度が高いかもしれませんが、Laravelのようなフレームワークを使えばここら辺のセキュリティ機能を簡単に実装出来ます(でも、環境構築とか、やり方分からないか。。。)
No.4
- 回答日時:
ご質問の処理は、安全なウェブサイトを作るうえで必要な
CSRF 脆弱性の対策です。
安全なウェブサイトの作り方 - 1.6 CSRF
https://www.ipa.go.jp/security/vuln/websecurity/ …
根本的解決 6-(i)-a 処理を実行するページをPOSTメソッドでアクセスするようにし、その「hiddenパラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。
一致するとは、
「入力画面を表示して、フォーム内容を記載し、投稿ボタンを押す」
という想定どおりの流れを経た POST 送信である、ということです。
一致しないとは、
想定通りの流れでない不正な POST 送信ということです。
具体的な例を二つほど上げます。
例1) ブラウザ操作ミス
ブラウザ履歴をたどり、登録後画面を再表示してしまった
→ 表示するために再度 POST 送信を送った
→ POST 内に含まれる token が古いままなので SESSION と一致しない
→ エラー発生し登録失敗
例2) 悪意ある攻撃
攻撃者の用意した罠サイト or メールで、ボタンを押してしまった
→ 異常な登録を行う POST 送信がウェブサイトに送られた
→ POST 内に含まれる token が無い or 適当な値なので SESSION と一致しない
→ エラー発生し登録失敗
No.2
- 回答日時:
htmlspecialcharsでエンコードしているのでデコードをするか、セッションの方と同じくエンコードしてから比較する必要があるかもしれません。
いつも回答ありがとうございます。
本職の技術者でないため、詳しく教えて欲しいです。いずれの自身の会社のホームページの作成で奮闘しています。セキュリティもある程度あるログイン機能が欲しいのです。
何とかvscodeを使用してデバッグは行うのですが、
このプログラムをブラウザで開き、入力画面にデータを入れてsubmitしてデバッグを開始すると、プログラムの頭でも、既に$_POSTのtokenにデータが入っているのですが、自動生成されたものなのでしょうか?$_SESSIONはsession_start()でからデータが入っており、値は自動生成のように思えるので、値は違って当然なのでは?という疑問が拭えません。
No.1
- 回答日時:
URLを全て見ているとキリがないですが、
文章から察するに、作成したトークンをセッションに保持し、画面表示時に隠しデータとしてユーザーに送ります。この時サーバーはセッションを保持しますから、ユーザーがsubmitボタンを押した際に、この一致をチェックすることで、悪意のあるなりすまし攻撃を防ぐという、バリデーションと思います。
ただのセキュリティの都合ですから、学習用途で入れる必要はありません。
一致しないと端的に言っても例えば、セッションとポストデ渡ってくる値を出力して見比べるとか、どの段階でその変数にその値が入るのかをチェックするなど、
技術者なのであれば、そのデバッグ行為はご自身で行ってください。
以下蛇足
うちの職場にもデバッグ行為をせずにブラックボックステストの手順と結果だけを報告してくる無能の先輩が居ます。
こういう奴は生産性を落とす害悪でしかありません。技術者なら自分で調査できるはずですし、自分と同じか、それ以上の給料を貰ってるなら、それ分の働きはして欲しいものでふ。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
このQ&Aを見た人はこんなQ&Aも見ています
-
ゆるやかでぃべーと タイムマシンを破壊すべきか。
これはディベートの論題だと仮定したうえでの回答お願いします。あなたは、その末にタイムマシンを壊してしまうのか、使い道を探すのかどうかを考えてもらいたいです。
-
フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
あなたが普段思っている「これまだ誰も言ってなかったけど共感されるだろうな」というあるあるを教えてください
-
映画のエンドロール観る派?観ない派?
映画が終わった後、すぐに席を立って帰る方もちらほら見かけます。皆さんはエンドロールの最後まで観ていきますか?
-
海外旅行から帰ってきたら、まず何を食べる?
帰国して1番食べたくなるもの、食べたくなるだろうなと思うもの、皆さんはありますか?
-
天使と悪魔選手権
悪魔がこんなささやきをしていたら、天使のあなたはなんと言って止めますか?
-
プログラミング言語で、使えるクラス沢山ありますが、以下のようなクラスってなんて名前ですか? 例えば1
PHP
-
phpに関わる所での、form action=パス"について"
PHP
-
PHPについて。
PHP
-
-
4
アップロードファイルを表示するためにはどうすればよいでしょうか?
PHP
-
5
なんでブラウザでPHPを動かすためだけにOSにPython2(Python3)を入れて、C(GCC)
PHP
-
6
index.phpって何ですか? 具体的に教えてください
PHP
-
7
PHPとHTML+Xamppの掲示板で画像も投稿できるように
PHP
-
8
AIの登場でプログラマーたちが解雇されていますが
その他(プログラミング・Web制作)
-
9
情報の表現。()内がどうしてもわかりません。
Ruby
-
10
C#でログファイルにファイルパスが出ないようにしたい
C言語・C++・C#
-
11
プログラマーは誘惑にさらされる人生?
その他(プログラミング・Web制作)
-
12
Pythonのコードエラーについてです。
その他(プログラミング・Web制作)
-
13
プログラミングについて プログラミングの練習(勉強)ができるようなサイトなどありませんか? あれば教
その他(プログラミング・Web制作)
-
14
Web初心者です。 簡易的なWebページを作成し
その他(プログラミング・Web制作)
-
15
php配列のキーの二重定義 $a['zero'],$a['iti']と$a[0],$a[1]とが同等
PHP
-
16
楽しくて最高のプログラミング言語を作りたいのですが、そもそもプログラミング言語を作る意味なんてないと
その他(プログラミング・Web制作)
-
17
小学1年生の子です。塾に行かせるのは難しいので、自宅で学べたらと思うのですが、子供にプログラミングを
その他(プログラミング・Web制作)
-
18
プログラミング
その他(プログラミング・Web制作)
-
19
phpでPEAR::DBを使っているのですがPEAR::DB関連の処理を関数化して使い易くしようと思
PHP
-
20
PHPでこのコード自体に意味は無いんですけど、上のifと下のifの違いってなんですか?個人的には下の
PHP
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・【お題】絵本のタイトル
- ・【大喜利】世界最古のコンビニについて知ってる事を教えてください【投稿~10/10(木)】
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
トランザクションが原因?DBに...
-
エラーが出て困っています
-
imagecreatefromjpeg使用時のメ...
-
「@$変数」の「@の意味は?」
-
変数に格納できる最大サイズは?
-
フォントの色を変えるには?
-
Amazon APIをPHPでアクセスする...
-
phpのエラー(T_LNUMBER)について
-
パースエラーとは?
-
メールアドレスが存在するか確...
-
insertができない。
-
PHPでFetalなエラーが発生した場合
-
onedrive にexcelファイルをア...
-
CSV出力にHTMLが入ってしまう
-
.phpと.incファイルの違いはな...
-
PHPのif文でその処理を途中で抜...
-
PHP session_destroyとsession...
-
別ファイルの変数を呼び出した...
-
別PHPファイルに変数を渡す
-
session_set_save_handler の実...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
xmlの宣言文をPHPで出力するには
-
フォントの色を変えるには?
-
「@$変数」の「@の意味は?」
-
PHPでネットワークドライブのop...
-
トランザクションが原因?DBに...
-
パースエラーとは?
-
正規表現での最後尾のバックス...
-
PHPにて外部サイト内容が取得不...
-
これは例外処理でしょうか?
-
PHP8を使うと、大量のWarningが...
-
PHPでfatal errorが出ても無視...
-
PHPで、エラーがない場合のみ画...
-
クラスの中でincludeするとき、...
-
iframeからのアクセスか、ブラ...
-
ワードプレスサイト PHP8.0.25...
-
error_reporting(0);にも関わら...
-
PHPでSMTPを使ってメール送信で...
-
ある条件に当てはまったときに...
-
Localeクラスについて
-
phpのrenameでエラーが出ます
おすすめ情報