管理画面の入力フォームをhtml編集可能にする場合

Question

PHP+MySQLを使っています。
管理画面から入力した商品情報のデータをDBに保存し、DBから情報を取得してホームページに反映させたいと思っています。
その管理画面の入力フォームで、商品詳細を記述する入力ボックスをhtml編集できるようにする場合（タグをつけて記述できるようにする場合）、クロスサイトスクリプティングやSQLインジェクションなどの攻撃の対策としてどういった手法がありますか。
html編集できない入力ボックスを作るときは、私は、タグを取り除くなどの処理をしてDBに保存しています。タグをつけたままDBへ保存するというのはセキュリティとしてはよくないのではと思う部分があり、みなさんはどうされているのかと思い、質問させていただきました。
よろしくお願いいたします。

hogehoge78 · Accepted Answer

＞クロスサイトスクリプティングの対策になっていないと思うのですが。。。本題をすっかり忘れてました、スミマセン。 http://jp2.php.net/strip_tags とりあえず代表的な方法としては、上記関数を使う方法です。 "); ?> 第二引数のタグのみ許可されます。後はシステムの要件次第ではあるんですが、上記URLの下部のユーザ投稿に様々なXSS対策用のサンプルコードもあります。一度これらを見てみていただき、使えそうなコードを利用してみるのも良いと思います。後は、XSSではないですが、「あああ」とか、昔の掲示板荒らし、のような手法などに関しては、正規表現でstyleタグを除去するとか、別途対策が必要かもしれません。

hogehoge78 · Answer

http://php.benscom.com/manual/ja/info.configuration.php#ini.magic-quotes-gpc
もしかするとコレが原因かもしれません。
PHPには、Get/Post/Cookieの値がそれぞれの変数に格納される前に、自動的にエスケープ処理を行う設定があります。
php.iniでその項目を無効にするか、PHPスクリプト上で、変数に格納された値一つ一つを、stripslashes関数でエスケープされた文字を解除する必要があります。

http://php.benscom.com/manual/ja/function.get-magic-quotes-gpc.php
こちらのページのユーザ投稿の一番最初の「stripper」関数の投稿が参考になると思います。
流れは、もしget_magic_quotes_gpc関数にてGPCのエスケープを行う設定になっているのが確認されたら、stripslashes関数にて、エスケープを解除する
というプログラムです。

hogehoge78 · Answer

＞http://www.​○○○.jp/'​http://www.​○○○.jp/'
入力したタグの中に全角とか混ざってませんか？
自宅の環境で同様にやってみましたが特に問題なく表示されるようでした。

一度取得したHTMLをブラウザの「ソース表示」などで確認し、テキストエディタなど、HTMLの色分されたり、全半角のスペースなどが記号で表現されるようなもので見てみてはいかがでしょうか。

hogehoge78 · Answer

■XSS対策に関して

inputタグのvalue要素の囲い文字を「"(ダブルクオート)」としている場合には、
<input type="text" name="hoge" value="<?php echo htmlspecialchars($_POST['hoge'])?>" />
とすればOKです。（textareaでも同様）
実際に、<input type="text" name="hoge" value="<font color='red'>UNKO</font>" />
とハードコーディングしてから、POST値をそのままechoなどで出力してみてください。エンコードした文字が戻ってタグとして認識されているのが分かると思います。

■SQLインジェクション対策にかんして
OKbokuzyoさんの仰るとおり、プリペアドステートメントを利用するのが良いと思います。
ただ、提示されたURLのようにSQL文として記述するよりは、PDOクラスなどで実装されているprepareメソッドなどを活用されたほうが、今後MySQLをPostgreSQLに変更する際などに以降しやすいと思いますので、PDOクラスの使い方を調べたほうがよさそうです。
尚、標準のmysql関数でエスケープする方法は、下記
<?php
$escape_str = mysql_real_escape_string($_POST['hoge']);
?>
尚、POSTされた値とDBの文字エンコードが違う場合には、関数に流し込む前に文字コードを変換しておく必要があります。（これはPDOのPrepareなどでも同様）

OKbokuzyo · Answer

>タグをつけたままDBへ保存するというのはセキュリティとしてはよくないのではと思う

タグを付けたままDBへ保存するのが問題なのではなく、
タグとして認識される危険性をはらんだままデータを取り扱うことが問題なのです。
タグとして認識されることを避けるため、
通常「<」や「>」（あとエスケープの関係で「&」も）という文字は
エスケープを行いますが、このときエスケープをDB格納前に行うのか
あるいはデータの利用前に行うのかはどちらでも良いことです。

>SQLインジェクションなどの攻撃の対策

上記同様にデータのエスケープを行っても良いのですが
SQLインジェクションの対策にはプリペアードステートメントを利用することが一般的です。
具体的には下記サイト等を参考にしてください。

http://www.thinkit.co.jp/cert/books/2/3/1/3.htm

管理画面の入力フォームをhtml編集可能にする場合

＞クロスサイトスクリプティングの対策になっていないと思うのですが。

この回答への補足

＞

この回答への補足

■XSS対策に関して

この回答への補足

>タグをつけたままDBへ保存するというのはセキュリティとしてはよくないのではと思う

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング