$_SERVER['PHP_SELF']は危険?
PHPで自ページから自ページへ遷移する動作をさせるとき、AタグやFORMタグに$_SERVER['PHP_SELF']を使う方法があります。
Aタグに使う場合
<a href="<?php echo $_SERVER['PHP_SELF']; ?>">
FORMタグに使う場合
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
しかしこのような目的で$_SERVER['PHP_SELF']を使うときには気をつけたほうがいいです。
XSS(クロスサイトスクリプティング)というセキュリティーホールになります。
CakePHPやZend Frameworkなどmod_rewriteを使っているときです。
例えば次のようなURL
http://example.com/hoge.php/"><script>alert('test');</script><"
このURLの後半をURLエンコードしたURL
http://example.com/hoge.php/%22%3E%3Cscript%3Ealert('test');%3C/script%3E%3C%22
このURLでアクセスすると$_SERVER['PHP_SELF']は
/hoge.php/"><script>alert('test');</script><"
となります。
これを先ほどのAタグに渡してしまうと
<a href="/hoge.php/"><script>alert('test');</script><"">
このようになり、JavaScriptを実行することができます。
同様に先ほどのFORMタグに渡してしまうと
<form method="post" action="/hoge.php/"><script>alert('test');</script><"">
このようになり、これもJavaScriptを実行することができます。
対処法
$_SERVER['SCRIPT_NAME']を使う
$_SERVER['PHP_SELF']は、.php以降のPATH_INFOまで入っていますが、$_SERVER['SCRIPT_NAME']だと、.phpまでしか入っていません。Aタグに使う場合
<a href="<?php echo $_SERVER['SCRIPT_NAME']; ?>">
FORMタグに使う場合
<form method="post" action="<?php echo $_SERVER['SCRIPT_NAME']; ?>">
そもそも表示させない
そもそも渡された値をそのまま表示させるのが問題になるということから、自ページから自ページへの遷移なら
Aタグに使う場合
<a href="">
FORMタグに使う場合
<form method="post" action="">
このようにURLに何も書かないことで、$_SERVER['PHP_SELF']とほぼ同じ動作になります。
filter拡張モジュールを使う
PHP5.2.0以降デフォルトで追加された、filter拡張モジュールを使う方法があります。
PHPのfilterモジュールでサニタイズしてみると
Aタグに使う場合
<a href="<?php echo(filter_input(INPUT_SERVER, 'PHP_SELF',FILTER_SANITIZE_STRIPPED)); ?>">
FORMタグに使う場合
<form method="post" action="<?php echo(filter_input(INPUT_SERVER, 'PHP_SELF',FILTER_SANITIZE_STRIPPED)); ?>">
表示は次のようになります。
<a href="/dev/php/SCRIPT_NAME.php/"alert('test');">
既存ソースの修正
今まで$_SERVER['PHP_SELF']を使っていた人で、$_SERVER['SCRIPT_NAME']に書き直したいと思ってる場合には、
ファイルからコードを探していくのは大変ですし、漏れがあるかもしれません。
そんなときはコマンドラインから次のコマンドを実行すると、サーバー内からすべて探してくれます。
find 【ディレクトリパス】 -name "*.【拡張子】" -exec fgrep 【検索文字】 {} \;
使用例
find . -name "*.php" -exec fgrep PHP_SELF {} \;
関連記事
- 1ファイルにclassを記述して実行する方法
- PHP Startup: Unable to load dynamic libraryのエラーの解決方法
- CakePHP1系(CakePHP1.3)をPHP7・PHP8以降に対応させる方法
- Composerコマンドでウクライナへのメッセージが表示されたことがあります
- Composerをインストールする方法と使い方
- PHPのPEARは2019年に改ざんされたことがあります
- PostgreSQLでSCRAM authentication requires libpq version 10 or aboveと出るとき
- Apacheで所有権や書き込み権限があるにも関わらずPermissions deniedが出る場合
- PCやスマホがネットワーク内にあるかどうかを調べる(在宅かどうかの判断)
- プログラムでもっとも正確に日本の祝日を求める方法(内閣府公表CSVの過去3度の改訂履歴)
- EC-CUBE2系で商品を大量にカートに入れると注文情報が抜けたりカートが消えたりする
- Smarty2をPHP7に対応させる方法(The /e modifier is no longer supported Smarty_Compiler.class.php, line 270)
- CakePHPのバージョンごとのシステム要件
- yumのius(iuscommunity.org)でエラーが出る場合
- iusリポジトリで公開されているパッケージの一覧
- phpMyAdminでログイン画面を出さずにデータベースに接続する方法
- さくらサーバ(さくらのレンタルサーバ)でcronを使ってPHPを定時実行する
- php.ini が見つからない時
- PHPでMySQLなどにPDO接続をすると、could not find driverのエラーが出る場合
- PHP Strict Standards: Non-static method と出る場合の対処法
- mb_send_mail、mb_encode_mimeheaderの文字化けのまとめ(半角カタカナなど)
- Twitter APIでのエラーの一覧
- CakePHPでカラムを比較してSELECTする方法
- ImageMagick更新で『PHP Startup: Unable to load dynamic library '/usr/lib/php/modules/imagick.so'』エラーが出る場合
- コマンドやphpMyAdminで複数のデータベースに接続できるユーザーを作成する方法
- phpMyAdminで『information_schema』などを非表示にする方法
- ディレクトリが存在するにもかかわらず、『No such file or directory』エラーが出る
- PDO_MYSQLをインストールする方法
- PEAR・PECLをインストールする方法
- file_get_contentsで$http_response_headerを使用するときの注意点
- サイトの更新情報をPINGサーバに送信する方法
- インクルードパスを設定する方法
- HEADリクエストを排除してサーバ負荷を軽減させる
- cron実行時の標準出力のメールを飛ばさない方法(cron実行時に毎回メールを飛ばさない)
- cron実行時のPATHなどの環境変数を確認する方法
- cronのメール送信先を指定する方法(cronごとに送信先のメールアドレスを指定する方法)
- cron実行時に『/bin/sh: 〜〜: command not found』と出てcronが実行されない場合
- 『crontab -r』でcronの設定を間違って消してしまった場合の対処法
- 日本語名のフォルダを作成する場合の注意点
- rename()を実行すると『Operation not permitted』とエラーが表示される
- cronを実行すると『TERM environment variable not set.』というエラーメールが飛ぶ
- 「ID」や「ID_xxxx」という文字列があるCSVファイルをExcelで開くとSYLKエラーが出る
- Excelの日付が数字になるときの対処法
- PHPでfacebook投稿時に公開範囲を指定する方法
- PHPで複数の画像をfacebookに投稿する方法
- PHPでfacebookのフィード(ウォール)に投稿する方法
- PHPでのfacebookアプリの認証処理(APIを使うユーザー認証)
- facebook APIを使用する時にfacebook Appsでアプリを登録するまでの流れ
- SELECTタグで色を選択する場合のサンプル
- POSTでアップロードできるファイルサイズの制限を変更する方法
- Zend Optimizerのインストール
- Zend Serverとは
- Live Commerceとは
- SSL(HTTPS)でファイルのダウンロードができない場合
- ファイルダウンロード時のファイル名が文字化けする対処法
- simplexml_load_file()、simplexml_load_string()でparser error : Input is not proper UTF-8, indicate encoding !
- Deprecatedエラーを消す方法 (php.iniや.htaccess)
- Cactiのインストール RRDToolを利用したサーバ監視ツール
- JISコードでstrlenの文字数が合わない(目視の文字数とstrlenの文字数が異なる)
- echoしても文字は表示されないのに、emptyがtrueにならない
- [暗号化]ブロック暗号とは(AES/DES/Blowfish PKCS5Padding ECB/CBC IV)
- == と === の違い(比較演算子)
- Firefox、Chromeなどで文字化けを防ぐ方法 ヘッダー情報に文字コードを指定
- CakePHP、Symfony、Zend Frameworkの比較
- ブラウザの中止ボタンを押した後も処理を実行させる方法 タイムアウト以外の停止
- HTMLファイルのエンコードを『内容から判別する』にしない方法
- SQL Buddy ブラウザベースのMySQL管理ツール
- Twitter APIを使用する (Twitterアプリケーション登録)
- Mantisのインストール
- Mantisのユーザー管理テーブル(mantis_user_table)
- create_functionでメソッドを使用する方法
- strtotimeでmonthを使用するときの注意点
- コマンドラインからpearを実行するとエラーが出る 環境変数PHP_PEAR_PHP_BINの設定
- PEARを更新する方法
- zend_mm_heap corrupted とは
- switch文とif文の違い
- fgetcsv関数を文字化け対応 setlocaleの文字コード指定
- Deprecatedの修正例(POSIX)
- Fatal error: Call to undefined function imagecreatefromjpeg() の対処法
- PHPをyumでインストールする
- php_network_getaddresses: getaddrinfo failed: Temporary failure in name resolutionの対応
- fsockopenでSSLサーバに接続する
- PHPでPDFファイルを作成する FPDF FPDI TCPDF
- 『このインターネットのサイトを開くことができません。』と出て、ファイルをダウンロードできない
- 複雑なExcelファイルをプログラムで作成する方法
- Excelで保存したときのCSVファイルの仕様
- フォーム要素の属性名の『ドット( . )』は『アンダーバー( _ )』に変わります
- サブドメインにアンダーバーがあるとクッキーは使えない
- アンダーバーのあるドメインではセッションクッキーは使用できません
- NetBeans6のインストール(JavaだけでなくRuby、PHP、C/C++に対応した統合開発環境)
- memcachedを使用する(memcacheライブラリ)
- date.timezoneを設定するとPHPが早くなる
- PHPフレームワークの一覧
- mbstringエミュレータ
- Fatal error: Maximum execution time of 30 seconds exceededの対処法
- PHPのインストール
- 例外処理(Exception)
- Windows版PHPにPEAR・PECLをインストールする
- PHPをコマンドラインから使用する方法
- 画像の保存やメール転送を制限する方法
- PHPの閉じタグは書いてはいけない
- Net_UserAgent_Mobile 携帯判別PEARパッケージの使い方と注意点
- stdClassクラスとは
- ユーザーエージェントからのキャリア、世代判別
- クラスとオブジェクト
- str関数、preg関数、ereg関数の速度比較
- 配列値格納の構文と組み込み関数による速度比較
- 正規表現のパターン文字列に日本語文字を使うときの注意
- ダブルクオート/シングルクオート/ヒアドキュメント、echo/printの速度比較
- forとforeachの速度比較
- SJISじゃなくてSJIS-win、EUC-JPじゃなくてeucJP-winを使おう
- 文字列の一部を得る関数mb_substrとmb_strcutの違い
- mb_strlenやmb_strimwidthの注意点
- failed: No space left on device
- VGA端末用に出力画像を拡大縮小する方法
- VGA端末の画像表示対応
- SSL通信かどうか
- docomo端末でCSSを使うには
- yumで、より新しいパッケージをインストールする方法(CentOS)
- 住所や駅名などから緯度経度を取得する
- empty関数について
- $_REQUESTに入る値と、その優先順位
- mail関数やmb_send_mail関数でReturn-Pathを設定する方法
- 携帯サイトのmailtoを端末ごとに書き換える関数
- MySQLのソケットエラー
- EclipseでPHPプロジェクトにする方法
- Softbankの携帯で文字の色を白にするときは注意
- mailtoの使い方
- 携帯サイトでのmailtoの使い方
- mailto本文での改行 ドコモのN、Pで送信に失敗します
- 数字(0〜9)のみかどうかを調べる正しい方法
- PCからデコメールを送るときの仕様
- PHPのバージョン表記の隠蔽
- quoted-printable文字列の変換
- Mantisのメール文字化け
- Issue-Tracker [バグ追跡システム]
- phpBugTracker [バグ追跡システム]
- eGroupWare [バグ追跡システム]
- OpenTask [バグ追跡システム]
- <docomo>タグ、<au>タグ、<softbank>タグの使用例
- 動的ページを静的ページに偽装する方法
- 『サイトが移動しました』を出さない方法
- セッション固定攻撃(session fixation)
- Softbankで絵文字を表示させる
- 位置情報・GPS情報の取得方法
- サイトを公開するときの設定
- クッキー(cookie)について
- セッションの有効期間とか設定とか挙動とかを調べました
- 携帯電話端末の判別ライブラリ Net_UserAgent_Mobile
- 個体識別情報・UIDの取得方法
- OpenPNEのツッコミどころ
- magic_quotes_gpc = On の対策
- Windows版PHPのインストール
- Mantis(マンティス) バグ管理システム
- CakePHP
- Symfony(シンフォニー)
- EC-CUBE
- Zen Cart(ゼン・カート)
- OsCommerce
- OpenPNE
- PukiWiki
- MediaWiki
- Wordpress
- Nucleus
- Movable Type
- NetCommons(ネットコモンズ)
- Joomla(ジュームラ)
- Drupal(ドルーパル)
- XOOPS Cube
- Geeklog(ギークログ)
- UTF-8からSJISで文字化け
- ファイル操作
- Smarty
- 正規表現
- ちいたん
- Symfony
- サンプルコード
- EC-CUBE
- Zend Framework
- Ethna
- OpenPNE
- CakePHP
- WordPress
- XOOPS Cube
- Drupal(ドルーパル)
- FPDF 1.52 リファレンス
- Doctrine
- 講座
- Yii
- Live Commerce
- SOAP拡張モジュール
- PEAR
- Composer
スポンサーリンク