人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セキュリティ、SSLの質問です。
セキュリティ処理をしたPHPのフォームのヘッダにgoogleの検索窓を設置した場合、その検索窓部分からPHPフォームを攻撃されることはあるのでしょうか?
またその場合データは、セッション渡し、post飛ばしで違いはあるのでしょうか?

ページはSSLで、フォームのテキスト入力部分はHTMLタグ禁止、php内部で環境変数はサニタイズの対策をしてあるとします。

正直重要なフォームページに検索窓をおくことがナンセンスだと思うんですがそのあたりは無視でお願いします。。。

●質問者: 牛乳先生(tukihatu)
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:Google HTML PHP SSL サニタイズ
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● t_shiono
●100ポイント ベストアンサー

まず、状況を確認させて頂きたいのですが、あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?

その場合恐らく、A.phpを表示してソースを見ると、次のようなHTMLになっていると思います。

<html>
 <head>省略</head>
 <body>
 ・・・
 <form action="グーグル">
 Googleの検索フォーム群
 <input name="keyword"/>
     ・・・
 </form>
  ・・・
 <form action="重要なフォームのPOSTするページ">
    重要な入力フォーム群
 </form>
  ・・・
 </body>
</html>

この上で、Googleの検索窓側のフォーム(上記でいうname=keyword)に入れた文字によって不正アクセスがされるか?ということですよね?

答えとしては、重要な入力フォーム群のサブミットボタンが押されれば、Google側のフォームに何を入力しようと、関係ありません。上記のkeywordにSQLインジェクションなどを狙った文字列などが仮に入れられたとしても、それは重要なフォームのPOSTするページには送信されません。

Google側のフォームの内容はあくまでも、Google側のサブミットボタンが押された際に、Google側のactionで指定したURLに渡されるだけなので。


はずしていたら、すみません。

◎質問者からの返答

ありがとうございます!

>あるSSLのページ(A.phpとします)があって、そのページのヘッダ部分にGoogleの検索窓があるという認識でよいでしょうか?

言葉足らずですみません。そのとおりです。ソース書けばよかったですね

やはり別々のフォームになっていれば同じページでも関係ないのですね。

これで不安なく作業できます!ありがとうございます!

しかし検索窓は、付けてほしいと言っていた先方の都合によりなくなりました。。。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ