[PHP-users 24232] クロスサイトスクリプティングとSQLインジェクションの防止策

[鈴木孝征 Suzuki Takamasa]

PHP-users MLの皆様へ。鈴木孝征と申します。

LinuxWorld 3月号を読みましてウェブアプリケーションを作成する上で
改めていろいろ注意するべき点があると感じました。

件名にかきましたとおりクロスサイトスクリプティング(XSS)とSQLイ
ンジェクションを防止する上でPHPでするべき対策について教えてく
ださい。

まずXSSについてですが、XSSはユーザーが入力した値をHTMLに組み込
んで返すときに起きると理解しています。私が現在取り組んでいる案件
ではそのような処理がいくつかあるのですが、ユーザーが入力した値は
そのユーザーしか見られないようになっています。ユーザーのなりすま
しなどの危険性を考えない場合、つまりユーザーAが入力した値はユー
ザーAしか見ないことが保障されているのならば、XSSの問題は存在し
ないと考えてよろしいのでしょうか。

またユーザーAの入力した値($a)をユーザーBに表示する場合PHPの関数
htmlspecialcharsを使用して表示すればそれのみでXSSの危険は完全に
防止できるのでしょうか。

次にSQLインジェクションの防止策についても教えてください。ユーザー
の入力した値をもとにデータベース(私はPostgreSQLを使用しています)
を検索する処理を行っています。ユーザーの入力した値は下記のような
SQLで利用しようと考えています。

$value = $_REQUEST['value'];
pg_query($connection, "select * from table1 where column1 = '$value'");

このとき$valueに'(シングルクォーテーション)が入っているとSQLイン
ジェクションの危険があるので、$valueをサニタイジングしなければいけ
ないと思います。

PHPの関数を眺めるとaddslashesという関数が見つかりシングルクォー
テーションをクォートしてくれることが期待できます。$valueを
$value = addslashes($value)とすれば上記のSQLにおいてはSQLインジェク
ションを完全に防止することができるのでしょうか。

ウェブアプリケーション作成の注意点を書いたものはときどき見るのです
が、PHPでの具体的な処理方法について確認したかったので投稿させてい
ただきました。もちろん「完全」とか「１００％」などと断言することは
難しいと思いますが、皆様が安全だと確信して行っている処理について教
えていただければ幸いです。