セキュリティ処理をしたPHPのフォームのヘッダにgoogleの検索窓を設置した場合、その検索窓部分からPHPフォームを攻撃されることはあるのでしょうか?
またその場合データは、セッション渡し、post飛ばしで違いはあるのでしょうか?
ページはSSLで、フォームのテキスト入力部分はHTMLタグ禁止、php内部で環境変数はサニタイズの対策をしてあるとします。
正直重要なフォームページに検索窓をおくことがナンセンスだと思うんですがそのあたりは無視でお願いします。。。
まず、状況を確認させて頂きたいのですが、あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?
その場合恐らく、A.phpを表示してソースを見ると、次のようなHTMLになっていると思います。
<html> <head>省略</head> <body> ・・・ <form action="グーグル"> Googleの検索フォーム群 <input name="keyword"/> ・・・ </form> ・・・ <form action="重要なフォームのPOSTするページ"> 重要な入力フォーム群 </form> ・・・ </body> </html>
この上で、Googleの検索窓側のフォーム(上記でいうname=keyword)に入れた文字によって不正アクセスがされるか?ということですよね?
答えとしては、重要な入力フォーム群のサブミットボタンが押されれば、Google側のフォームに何を入力しようと、関係ありません。上記のkeywordにSQLインジェクションなどを狙った文字列などが仮に入れられたとしても、それは重要なフォームのPOSTするページには送信されません。
Google側のフォームの内容はあくまでも、Google側のサブミットボタンが押された際に、Google側のactionで指定したURLに渡されるだけなので。
はずしていたら、すみません。
ありがとうございます!
>あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?
言葉足らずですみません。そのとおりです。ソース書けばよかったですね
やはり別々のフォームになっていれば同じページでも関係ないのですね。
これで不安なく作業できます!ありがとうございます!
しかし検索窓は、付けてほしいと言っていた先方の都合によりなくなりました。。。