セキュリティ、SSLの質問です。

セキュリティ処理をしたPHPのフォームのヘッダにgoogleの検索窓を設置した場合、その検索窓部分からPHPフォームを攻撃されることはあるのでしょうか?
またその場合データは、セッション渡し、post飛ばしで違いはあるのでしょうか?

ページはSSLで、フォームのテキスト入力部分はHTMLタグ禁止、php内部で環境変数はサニタイズの対策をしてあるとします。

正直重要なフォームページに検索窓をおくことがナンセンスだと思うんですがそのあたりは無視でお願いします。。。

回答の条件
  • 1人2回まで
  • 登録:2008/02/25 12:02:11
  • 終了:2008/02/25 21:06:04

ベストアンサー

id:t_shiono No.1

t_shiono回答回数256ベストアンサー獲得回数222008/02/25 20:10:36

ポイント100pt

まず、状況を確認させて頂きたいのですが、あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?

その場合恐らく、A.phpを表示してソースを見ると、次のようなHTMLになっていると思います。

<html>
  <head>省略</head>
  <body>
    ・・・
     <form action="グーグル">
        Googleの検索フォーム群
          <input name="keyword"/>
     ・・・
     </form>
    ・・・
     <form action="重要なフォームのPOSTするページ">
      重要な入力フォーム群
     </form>
    ・・・
  </body>
</html>

この上で、Googleの検索窓側のフォーム(上記でいうname=keyword)に入れた文字によって不正アクセスがされるか?ということですよね?

答えとしては、重要な入力フォーム群のサブミットボタンが押されれば、Google側のフォームに何を入力しようと、関係ありません。上記のkeywordにSQLインジェクションなどを狙った文字列などが仮に入れられたとしても、それは重要なフォームのPOSTするページには送信されません。

Google側のフォームの内容はあくまでも、Google側のサブミットボタンが押された際に、Google側のactionで指定したURLに渡されるだけなので。


はずしていたら、すみません。

id:tukihatu

ありがとうございます!

>あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?

言葉足らずですみません。そのとおりです。ソース書けばよかったですね

やはり別々のフォームになっていれば同じページでも関係ないのですね。

これで不安なく作業できます!ありがとうございます!

しかし検索窓は、付けてほしいと言っていた先方の都合によりなくなりました。。。

2008/02/25 21:05:36
  • id:tukihatu
    書き忘れましたが、google検索はサイト内検索のスクリプトをコピーしただけのものとします。
    (http://www.google-analytics.com/urchin.jsってやつ)

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません