田中正裕
門脇優児
松田惇
阿部恵
熊谷裕志
岡本雄樹
小林有佳
濱田洋平
中川善樹
橋本章史
牧野克俊
和田記光
森川穣
佐々木聖昭
海原才人
鴨田健次
亀本大地
浦本和裕
川原美和
久保田光則
小川雄大
井川数志
笹亀弘
symfony のエスケープ処理
森川です。
今回は symfony のエスケープ処理について、きちんと解説したいと思います。
まず、symfony のデフォルトでは変数を出力するときのエスケープが無効になっています。
つまりデフォルトの状態だとユーザが入力した変数を出力している場合、危険性があるかもしれないということです。
上記のスクリプトでは、$sf_params->get('name') が脆弱性アリな状態となっています。
これは非常にまずいので、エスケープを有効にしてあげましょう。そのためには、apps/[name]/config/settings.yml を編集します。
21行目、41行目、55,6行目をコメントアウトして(symfony 1.0.13の場合)、さらに55行目の bc を both にします。
こうしてあげると、スクリプト自体を変更しなくてもきちんとエスケープされるようになります。
とりあえずめでたしめでたし、と言いたいところなのですが、今回はここからが本題です。
エスケープされたとはいえ、なぜエスケープされるのか、といったことがいまいちよくわかりませんし、escaping_strategy,methodの意味もいまいちよくわかりません。ということで、それぞれの意味を簡単に説明したいと思います。
まずは、escaping_strategy についてです。この値はどの変数をエスケープするのか、ということを設定します。
設定値として取り得る値は bc both on off の4種類がありますが、それぞれ違いがあります。
違いを説明する前に、テンプレート内で使用できる変数を2種類に分けます。一つは$var_name のような形式で、もう一つは $sf_data->get('var_name') の形式です。4種類での違いは以下のようになります。
・bc: $var_name はエスケープされない、$sf_data->get('var_name') はエスケープされる
・both: 両方ともエスケープされる
・on: $var_name は使用できない、$sf_data->get('var_name')はエスケープされる
・off: $var_name はエスケープされない、$sf_data は使用できない
ちなみに、both、off以外を使用することはまずないと個人的には思っています。なので、あんまりこの説明も意味がないかもしれません(まぁ簡単なTIPSだと思って下さい)。。。もっと深く知りたい方は symfony の view/sfPHPView.php を見るとよいと思います。
次の escaping_method ですが、こちらはエスケープの方法を指定します。
取り得る値は ESC_RAW、ESC_ENTITIES、ESC_JS、ESC_JS_NO_ENTITIES の4種類です。それぞれの違いは以下のようになります。
・ESC_RAW:何もエスケープしません。
・ESC_ENTITIES: htmlentities関数を使用してエスケープします。
・ESC_JS: htmlentities関数でエスケープした後に、addcslashesでエスケープされます。
・ESC_JS_NO_ENTITIES: addcslashesでのみエスケープされます。
addcslashes では JavaScript で使用するときにエスケープする必要がある文字をエスケープします。
ちなみに、MY_ESC と escaping_method として指定する場合は以下のようなヘルパーを用意します。
symfony本体のhelper/EscapingHelper.php を見ればよくわかると思います。
ここからはTIPSになりますが、ESC_ENTITIESでエスケープする場合、オブジェクトや配列の取り扱いが少々ややこしくなるので、注意が必要です。
どういうことかというと、テンプレート内で使用するすべての変数がsymfony本体の view/escaper/sfOutputEscaper*.class.php で定義されているオブジェクトに変わってしまうのです。
一番困るのが、先ほどのスクリプトでもあった、getメソッドです。たとえば、以下のソースを見て下さい。
このソースでは何も指定されていなければ、「空ですよ」という文字列が出てくることを期待しますが、これが出てこないのです。
なぜかといえば、sfOutputEscaperObject.class.php の get 関数が呼ばれてしまい、 sf_params(sfParameterHolder)のget関数は呼ばれないのです。
たとえば、以下のように書き換えることができます。
このように get 関数を使用する場合は注意してください。それと同様に in_array などの関数を使用すると、配列型ではない旨のエラーが出たりしてしまいます。
エスケープ専用のオブジェクトになっている、ということを念頭に入れておけば、問題が起きてもすぐに解決できるようになると思います。
今回は symfony のエスケープ処理について、きちんと解説したいと思います。
まず、symfony のデフォルトでは変数を出力するときのエスケープが無効になっています。
つまりデフォルトの状態だとユーザが入力した変数を出力している場合、危険性があるかもしれないということです。
echo $sf_params->get('name') echo form_tag('test') echo input_tag('name') echo submit_tag('テスト') - </form>
上記のスクリプトでは、$sf_params->get('name') が脆弱性アリな状態となっています。
これは非常にまずいので、エスケープを有効にしてあげましょう。そのためには、apps/[name]/config/settings.yml を編集します。
- all:
.settings: escaping_strategy: both escaping_method: ESC_ENTITIES
21行目、41行目、55,6行目をコメントアウトして(symfony 1.0.13の場合)、さらに55行目の bc を both にします。
こうしてあげると、スクリプト自体を変更しなくてもきちんとエスケープされるようになります。
とりあえずめでたしめでたし、と言いたいところなのですが、今回はここからが本題です。
エスケープされたとはいえ、なぜエスケープされるのか、といったことがいまいちよくわかりませんし、escaping_strategy,methodの意味もいまいちよくわかりません。ということで、それぞれの意味を簡単に説明したいと思います。
まずは、escaping_strategy についてです。この値はどの変数をエスケープするのか、ということを設定します。
設定値として取り得る値は bc both on off の4種類がありますが、それぞれ違いがあります。
違いを説明する前に、テンプレート内で使用できる変数を2種類に分けます。一つは$var_name のような形式で、もう一つは $sf_data->get('var_name') の形式です。4種類での違いは以下のようになります。
・bc: $var_name はエスケープされない、$sf_data->get('var_name') はエスケープされる
・both: 両方ともエスケープされる
・on: $var_name は使用できない、$sf_data->get('var_name')はエスケープされる
・off: $var_name はエスケープされない、$sf_data は使用できない
ちなみに、both、off以外を使用することはまずないと個人的には思っています。なので、あんまりこの説明も意味がないかもしれません(まぁ簡単なTIPSだと思って下さい)。。。もっと深く知りたい方は symfony の view/sfPHPView.php を見るとよいと思います。
次の escaping_method ですが、こちらはエスケープの方法を指定します。
取り得る値は ESC_RAW、ESC_ENTITIES、ESC_JS、ESC_JS_NO_ENTITIES の4種類です。それぞれの違いは以下のようになります。
・ESC_RAW:何もエスケープしません。
・ESC_ENTITIES: htmlentities関数を使用してエスケープします。
・ESC_JS: htmlentities関数でエスケープした後に、addcslashesでエスケープされます。
・ESC_JS_NO_ENTITIES: addcslashesでのみエスケープされます。
addcslashes では JavaScript で使用するときにエスケープする必要がある文字をエスケープします。
ちなみに、MY_ESC と escaping_method として指定する場合は以下のようなヘルパーを用意します。
- function
my_escaping_func($value) - {
// 必要な処理を $value に加えて return する - }
- define('MY_ESC')
symfony本体のhelper/EscapingHelper.php を見ればよくわかると思います。
ここからはTIPSになりますが、ESC_ENTITIESでエスケープする場合、オブジェクトや配列の取り扱いが少々ややこしくなるので、注意が必要です。
どういうことかというと、テンプレート内で使用するすべての変数がsymfony本体の view/escaper/sfOutputEscaper*.class.php で定義されているオブジェクトに変わってしまうのです。
一番困るのが、先ほどのスクリプトでもあった、getメソッドです。たとえば、以下のソースを見て下さい。
echo $sf_params->get('name', '空ですよ')
このソースでは何も指定されていなければ、「空ですよ」という文字列が出てくることを期待しますが、これが出てこないのです。
なぜかといえば、sfOutputEscaperObject.class.php の get 関数が呼ばれてしまい、 sf_params(sfParameterHolder)のget関数は呼ばれないのです。
たとえば、以下のように書き換えることができます。
echo $sf_request->getParameter('name', '空ですよ') echo $sf_data->getRaw('sf_params')->get('name', '空ですよ')
このように get 関数を使用する場合は注意してください。それと同様に in_array などの関数を使用すると、配列型ではない旨のエラーが出たりしてしまいます。
エスケープ専用のオブジェクトになっている、ということを念頭に入れておけば、問題が起きてもすぐに解決できるようになると思います。
コメントフォーム
トラックバック
最近の記事
- もうすぐ健康診断があるんだ・・・ [2010年09月02日 : 阿部恵]
- Photoshopで壁紙を作りながら、基本的な使い方を覚える [2010年09月01日 : 鴨田健次]
- はじめての共同作業 Canvas編 (node.js + websocket) [2010年09月01日 : 中川善樹]
- 「PHP×Flex(後編)」PHPテクニカルセミナー(無料)第4弾の募集を開始しました!! [2010年08月26日 : 和田記光]
- 【HTML5】Canvasでお絵かきしてみた(前編) [2010年08月25日 : 橋本章史]
- MacにgroongaのMySQL用ストレージエンジン [2010年08月23日 : 笹亀弘]
- Appleのサイトで見たiPhone4をFireworksで描いてみました-1/2 [2010年08月19日 : 和田記光]
- iPad版の会社紹介を作ってみました [2010年08月19日 : 小林有佳]
- iPhoneアプリ開発開始時に気をつけるべきファイルの取り扱い (2) [2010年08月19日 : 亀本大地]
- symfonyセミナー動画無料公開! [2010年08月13日 : 岡本雄樹]
最近のコメント