一般的な PHP セキュリティ問(wèn)題とその防止方法

セキュリティは、Web 開(kāi)発の最も重要な側(cè)面の 1 つです。 PHP は最も広く使用されているサーバーサイド プログラミング言語(yǔ)の 1 つであり、適切に保護(hù)されていないと攻撃の標(biāo)的になることがよくあります。開(kāi)発者は一般的なセキュリティ脆弱性を認(rèn)識(shí)し、アプリケーションを保護(hù)するために必要な対策を?qū)g裝する必要があります。

この記事では、最も一般的な PHP セキュリティ問(wèn)題のいくつかと、それらを軽減する方法について説明します。

---

1. SQL インジェクション

問(wèn)題:
SQL インジェクションは、攻撃者がユーザー入力を通じて悪意のある SQL コードを挿入することで SQL クエリを操作できる場(chǎng)合に発生します。適切な検証やサニタイズを行わずにユーザー入力が SQL クエリに直接含まれている場(chǎng)合、攻撃者が任意の SQL コマンドを?qū)g行できるようになり、データベースが侵害される可能性があります。

予防方法:

• プリペアド ステートメントとパラメータ化されたクエリを使用する: PDO (PHP データ オブジェクト) または MySQLi とプリペアド ステートメントを使用して、SQL クエリをデータから分離することで SQL インジェクションを防ぎます。
• PDO を使用した例:

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

:email を使用すると、クエリはプレースホルダーを使用して準(zhǔn)備され、実際の値は個(gè)別にバインドされ、ユーザー入力がクエリに直接挿入されることがなくなります。

• 入力検証: SQL クエリで使用する前に、ユーザー入力を常に検証してサニタイズします。
• 最低権限: データベース ユーザーが操作を?qū)g行するために必要な最小限の権限を持っていることを確認(rèn)します。

---

2.クロスサイト スクリプティング (XSS)

問(wèn)題:
XSS は、攻撃者が他のユーザーが表示する Web ページに悪意のあるスクリプト (通常は JavaScript) を挿入したときに発生します。このスクリプトは、セッション Cookie を盜んだり、ユーザーを悪意のあるサイトにリダイレクトしたり、ユーザーに代わって不正なアクションを?qū)g行したりするために使用される可能性があります。

予防方法:

• エスケープ出力: ブラウザーに表示されるすべてのユーザー生成コンテンツが適切にエスケープされていることを確認(rèn)します。 htmlspecialchars() を使用して、特殊文字を HTML エンティティに変換します。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

これにより、ユーザー入力內(nèi)の HTML または JavaScript コードがブラウザーによって実行されなくなります。

• コンテンツ セキュリティ ポリシー (CSP): Web サイトに読み込めるコンテンツの種類(lèi)を制限し、XSS 攻撃を軽減するために CSP を?qū)g裝します。

• 入力検証: 特に HTML 出力のデータを受け入れる場(chǎng)合は、常にユーザー入力をサニタイズします。

---

3.クロスサイト リクエスト フォージェリ (CSRF)

問(wèn)題:
CSRF は、悪意のあるユーザーが他のユーザーをだまして、同意なしに Web アプリケーション上でアクション (パスワードの変更や購(gòu)入など) を?qū)g行させる攻撃です。これは通常、攻撃者が被害者の認(rèn)証されたセッションを使用して不正なリクエストを行った場(chǎng)合に発生します。

予防方法:

• CSRF トークンを使用する: データを変更するリクエストごとに一意のランダムなトークンを生成します。このトークンは、リクエストが正當(dāng)であることを確認(rèn)するために行われるときに検証される必要があります。

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

• Same-Site Cookies: SameSite Cookie 屬性を使用して、クロスサイトリクエストでの Cookie の送信方法を制限します。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

---

4.安全でないファイルのアップロード

問(wèn)題:
適切な検証を行わずにユーザーがファイルをアップロードできるようにすると、重大な脆弱性が発生する可能性があります。攻撃者は、PHP スクリプトなどの悪意のあるファイルをアップロードし、サーバー上で実行される可能性があります。

予防方法:

• ファイル拡張子と MIME タイプを確認(rèn)する: 拡張子と MIME タイプを確認(rèn)して、ファイルの種類(lèi)を常に検証します。ユーザーが提供したデータのみに依存しないでください。

  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

• ファイル サイズの制限: 大きなファイルによるサービス拒否 (DoS) 攻撃を防ぐために、アップロードの最大ファイル サイズ制限を設(shè)定します。

• アップロードされたファイルの名前を変更: 元のファイル名は使用しないでください。ユーザーが既存のファイルを推測(cè)したり上書(shū)きしたりするのを防ぐために、アップロードされたファイルの名前を一意の名前に変更します。

• Web ルート外にファイルを保存する: アップロードされたファイルを Web 経由でアクセスできないディレクトリ (つまり、public_html または www フォルダーの外) に保存します。

• 実行可能ファイルを禁止する: .php、.exe、またはその他の種類(lèi)の実行可能ファイルのアップロードを決して許可しません。ファイルの種類(lèi)を検証する場(chǎng)合でも、コードを?qū)g行する可能性のあるファイルの処理は避けることをお?jiǎng)幛幛筏蓼埂?/p>

---

5.不十分なセッション管理

問(wèn)題:
セッション管理が不適切であると、アプリケーションがセッション ハイジャックやセッション固定などの攻撃に対して脆弱になる可能性があります。たとえば、セッション ID が適切に保護(hù)されていない場(chǎng)合、攻撃者はセッション ID を盜んだり予測(cè)したりする可能性があります。

予防方法:

• セキュア Cookie を使用する: セッション Cookie に HttpOnly、Secure、および SameSite フラグが設(shè)定されていることを確認(rèn)します。

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

• セッション ID を再生成: ユーザーがログインするか機(jī)密アクションを?qū)g行するたびにセッション ID を再生成して、セッションの固定を防ぎます。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

• セッションの有効期限: 適切なセッションの有効期限を設(shè)定し、セッション タイムアウトを?qū)g裝して、セッションが無(wú)期限に開(kāi)かれたままにならないようにします。

---

6.コマンドインジェクション

問(wèn)題:
コマンド インジェクションは、PHP の exec()、shell_exec()、system()、または同様の関數(shù)によって実行されるシステム コマンドに攻撃者が悪意のあるコマンドを挿入するときに発生します。これにより、攻撃者がサーバー上で任意のコマンドを?qū)g行できる可能性があります。

予防方法:

• シェル関數(shù)の使用を避ける: ユーザー入力で exec()、shell_exec()、system()、または passthru() などの関數(shù)を使用しないでください。これらの関數(shù)を使用する必要がある場(chǎng)合は、入力の適切な検証とサニタイズを確実に行ってください。

• Escapeshellcmd() および Escapeshellarg() を使用する: シェル コマンドを?qū)g行する必要がある場(chǎng)合は、コマンド ラインに渡す前に、escapeshellcmd() およびscapeshellarg() を使用してユーザー入力をサニタイズします。
  

  // Generate CSRF token
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

  // Include token in form
  echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';

  // Validate token on form submission
  if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
      die('CSRF token validation failed.');
  }

---

7.不適切なエラー処理

問(wèn)題:
機(jī)密エラー メッセージを公開(kāi)すると、アプリケーションの構(gòu)造に関する情報(bào)が明らかになり、攻撃者が悪用する可能性があります。これは、詳細(xì)なエラー メッセージがユーザーに表示されるときによく発生します。

予防方法:

• 運(yùn)用環(huán)境でエラーの表示を無(wú)効にする: 運(yùn)用環(huán)境では詳細(xì)なエラー メッセージをユーザーに表示しません。代わりに、エラーをファイルに記録し、一般的なエラー メッセージをユーザーに表示します。

  setcookie('session', $sessionId, ['samesite' => 'Strict']);

• ログエラー: 適切なログメカニズム (error_log() など) を使用して、エンドユーザーに公開(kāi)することなくエラー情報(bào)を安全にキャプチャします。

  $allowedTypes = ['image/jpeg', 'image/png'];
  if (in_array($_FILES['file']['type'], $allowedTypes)) {
      // Proceed with file upload
  }

---

8.クロスサイト WebSocket ハイジャック

問(wèn)題:
PHP アプリケーションで WebSocket を使用している場(chǎng)合、安全でない WebSocket 接続がハイジャックされ、ユーザーになりすまして悪意のあるデータが送信される可能性があります。

予防方法:

• WebSocket 接続に HTTPS を使用する: データを暗號(hào)化するために、WebSocket 接続が ws:// ではなく wss:// (WebSocket Secure) 経由で確立されていることを確認(rèn)します。

• Origin ヘッダーの検証: Origin ヘッダーを検証して、リクエストが許可されたドメインからのものであることを確認(rèn)します。
  

  $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
  $stmt->execute(['email' => $userEmail]);

---

9.弱いパスワードの保管場(chǎng)所

問(wèn)題:
ユーザーのパスワードを平文で保存したり、弱いハッシュ アルゴリズムを使用したりすると、データベースが侵害された場(chǎng)合に重大なセキュリティ問(wèn)題が発生する可能性があります。

予防方法:

• 強(qiáng)力なハッシュ アルゴリズムを使用する: PHP の組み込みのpassword_hash() 関數(shù)とpassword_verify() 関數(shù)を使用して、パスワードを安全にハッシュし検証します。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

• ソルティング: 常にソルトを使用し (password_hash() で自動(dòng)的に行われます)、2 人のユーザーが同じパスワードを持っている場(chǎng)合でも、ハッシュが異なることを保証します。

---

結(jié)論

PHP のセキュリティは、アプリケーションとそのユーザーの両方を保護(hù)するために重要です。 SQL インジェクション、XSS、CSRF、ファイル アップロードの問(wèn)題、セッション管理の欠陥などの一般的な脆弱性を理解し、軽減することで、PHP アプリケーションのセキュリティ體制を大幅に改善できます。

準(zhǔn)備されたステートメントの使用、入力の検証、HTTPS の使用、セッションとパスワードの安全な処理などの優(yōu)れた方法を採(cǎi)用することは、最も一般的な攻撃を防ぐのに役立ちます。常に最新のセキュリティ慣行を把握し、潛在的な脆弱性がないかアプリケーションを定期的に監(jiān)査してください。

以上が一般的な PHP セキュリティ問(wèn)題とその防止方法の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。