今回扱う CSRF は、
それとは別の方向から攻撃が行われます。

CSRFは、
ユーザーが意図していない操作を、
正規ユーザーとして実行させられてしまう脆弱性 です。

フォーム処理を行うPHPでは、
CSRF対策は必須 になります。

この記事では、
CSRFとは何か、なぜ危険なのか、
PHPでの基本的な対策方法 を
コード付きで解説します。

この記事で学べること

・CSRFとは何か
・CSRF攻撃の仕組み
・なぜCSRFが危険なのか
・PHPでの基本的なCSRF対策
・XSSとの違い

CSRFとは何か

CSRF（Cross Site Request Forgery）とは、
ログイン中のユーザーの権限を悪用し、
意図しないリクエストを送信させる攻撃 です。

攻撃者自身がログインするわけではなく、
被害者がログインしている状態 を利用する点が特徴です。

CSRF攻撃の典型的な流れ

CSRFは、
次のような流れで行われます。

1. ユーザーがWebサービスにログイン

2. ログイン状態のまま、別のサイトを閲覧

3. そのサイトから勝手にリクエストが送信される

4. サーバーは正規ユーザーの操作だと判断

5. 処理が実行されてしまう

ユーザーは、
自分が操作したつもりがなくても処理が実行される
という点が問題です。

CSRFで何が起こるのか

CSRFが成立すると、
次のような被害が起こります。

・パスワード変更
・メールアドレス変更
・投稿や削除処理
・退会処理

どれも
本人の意思とは無関係に実行される
可能性があります。

なぜCSRFが起きるのか

原因はシンプルです。

「そのリクエストが、本当に本人の操作かどうかを確認していない」

サーバー側が、

・ログインしている
という理由だけで
・正当な操作だと判断

してしまうことが問題です。

XSSとCSRFの違い

ここで整理しておきましょう。

・XSS
　→ スクリプトを実行させる攻撃

・CSRF
　→ リクエストを実行させる攻撃

どちらも危険ですが、
攻撃の方法と対策が異なります。

CSRF対策の基本は「トークン」

CSRF対策の基本は、
CSRFトークン を使う方法です。

トークンとは、

・推測できない文字列
・フォームごとに発行
・送信時に一緒に送る

という仕組みです。

PHPでCSRFトークンを生成する

まずは、
トークンを生成して
セッションに保存します。

サンプルコード①：トークン生成

<?php
session_start();

if (empty($_SESSION['csrf_token'])) {
  $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

コードの読み解き

・session_start
　→ セッションを開始
・random_bytes
　→ 安全なランダム文字列生成
・$_SESSION に保存

トークンは、
ユーザーごとに保持 されます。

フォームにトークンを埋め込む

次に、
フォームにトークンを含めます。

サンプルコード②：フォーム側

<form method="post" action="result.php">
  <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
  <button type="submit">送信</button>
</form>

ポイント

・hidden フィールドで送信
・ユーザーには見えない
・正規フォームからしか送信できない

送信時にトークンを検証する

フォーム送信後、
PHP側でトークンを確認します。

サンプルコード③：トークン検証

<?php
session_start();

if (
  empty($_POST['csrf_token']) ||
  $_POST['csrf_token'] !== $_SESSION['csrf_token']
) {
  echo '不正なリクエストです';
  exit;
}

echo '正規のリクエストです';

コードの読み解き

・トークンが存在するか
・セッションの値と一致するか

どちらかでも失敗した場合、
処理を中断 します。

CSRF対策が必要な処理

特にCSRF対策が必要なのは、
次のような処理です。

・登録
・更新
・削除
・設定変更

逆に、
表示のみの処理では
必須ではない場合もあります。

初心者がよくやるミス

CSRF対策で多いミスです。

・ログインしているから安全だと思う
・トークンを検証していない
・GETで更新処理を行う

更新系処理＝CSRF対策必須
と覚えておきましょう。

フレームワークがCSRF対策を自動化する理由

Laravelなどのフレームワークが
CSRF対策を自動で行うのは、

・実装ミスが起きやすい
・忘れると致命的

だからです。

基礎を理解しておくことで、
フレームワークの仕組みも
正しく理解できるようになります。

まとめ

CSRFは、

・ログイン中のユーザーを利用した
・意図しない操作を実行させる攻撃

です。

対策の基本は、

・CSRFトークンを発行
・フォームに埋め込む
・送信時に検証する

この流れを守ることです。

ここまで理解できれば、
フォーム処理に必要な
セキュリティ基礎は完成 です。

次に読むべき記事

▶ 次の記事
6-12 PHPでセッションを使って状態を管理する

▶ 関連記事
6-10 XSSとは？なぜ危険なのか

しかし、
バリデーションだけでは
セキュリティは十分ではありません。

入力されたデータは、
「正しい内容」であっても
安全とは限らない からです。

その代表的な脆弱性が、
XSS（クロスサイトスクリプティング） です。

この記事では、
XSSとは何か、なぜ危険なのか、
PHPでの基本的な対策方法 を
コード付きで解説します。

この記事で学べること

・XSSとは何か
・XSSが起きる仕組み
・XSSで何が起こるのか
・PHPでの基本的な対策方法
・バリデーションとの違い

XSSとは何か

XSS（Cross Site Scripting）とは、
ユーザーが入力した内容が、
意図せずスクリプトとして実行されてしまう脆弱性 です。

本来はただの文字として扱うべき内容が、

・HTMLとして解釈され
・JavaScriptとして実行される

ことで、
深刻な被害につながります。

XSSが起きる典型的な例

まずは、
問題のあるコード を見てみましょう。

サンプルコード①：危険な表示方法

<?php
$message = $_POST['message'] ?? '';
echo $message;

このコードでは、

・ユーザー入力を
・そのまま
・画面に表示

しています。

悪意ある入力がされた場合

もし、
次のような内容が入力されたらどうなるでしょうか。

<script>alert('XSS')</script>

この文字列が
そのまま表示されると、

・scriptタグが実行され
・アラートが表示される

という状態になります。

これが XSS です。

XSSで何が起こるのか

XSSが成立すると、
次のような被害が起こります。

・偽の画面を表示される
・入力内容を盗まれる
・Cookieを不正に取得される
・なりすましが行われる

ユーザーに直接被害が及ぶため、
非常に危険な脆弱性 とされています。

なぜXSSが起きるのか

原因は非常にシンプルです。

「ユーザー入力を信用して、そのまま出力している」

PHPは、
表示の安全性を
自動では保証してくれません。

XSS対策の基本は「エスケープ」

XSSを防ぐための基本対策は、
エスケープ処理 です。

エスケープとは、

・HTMLとして意味を持つ文字を
・ただの文字として扱う

ように変換することです。

PHPでの基本的なXSS対策

PHPでは、
次の関数を使うのが基本です。

・htmlspecialchars

サンプルコード②：安全な表示方法

<?php
$message = $_POST['message'] ?? '';
$safeMessage = htmlspecialchars($message, ENT_QUOTES, 'UTF-8');

echo $safeMessage;

コードの読み解き

・htmlspecialchars
　→ 特殊文字をHTMLエンティティに変換
・ENT_QUOTES
　→ シングル・ダブルクォートも変換
・UTF-8
　→ 文字コード指定

これにより、

・< や >
・" や '

が、
ただの文字として表示 されます。

バリデーションとXSS対策の違い

ここは非常に重要です。

・バリデーション
　→ 入力が正しいかを確認

・XSS対策
　→ 表示して安全かを確認

バリデーションをしていても、
XSS対策は必須 です。

エスケープは「出力時」に行う

XSS対策の基本原則です。

エスケープは、表示する直前に行う

理由は、

・保存形式を壊さない
・用途に応じて出力方法が変わる

ためです。

入力時ではなく、
出力時に必ずエスケープ
と覚えてください。

初心者がよくやるミス

XSS対策で多いミスです。

・バリデーションだけで安心する
・一部の表示だけ対策する
・エスケープを忘れる

「ユーザー入力を表示する」
＝
「XSS対策が必要」

この意識を持ちましょう。

実務での考え方

実務では、

・XSSが起きないようにする
ではなく
・XSSが起きる前提で対策する

という考え方が基本です。

まとめ

XSSは、

・ユーザー入力を
・そのまま表示することで
・発生する脆弱性

です。

対策の基本は、

・出力時にエスケープ
・htmlspecialchars を使う

この2点です。

ここまで理解できれば、
フォーム処理の安全性は
一段階上のレベル に到達しています。

次に読むべき記事

▶ 次の記事
6-11 CSRFとは？仕組みと対策

▶ 関連記事
6-9 PHPのバリデーションとは何か