ユーザーからの変数

偽装リクエストに注意

ユーザーからウエブサーバーに送信される変数には、ユーザーが任意のデータに設定できるものがあります。

GET、POSTで送信される変数

掲示板やメールフォームの送信データは、ユーザーがブラウザに入力する形式なので、ユーザーが自由に決めることができます。 メールアドレスの欄に入力されたデータがメアドである保証はありません。危険なスクリプトの可能性もあります。

GETおよびPOSTで送信されるデータは、そのまま利用するのではなく、必ずデータの整合性を確認するようにしましょう。(例えばメールアドレスなら英数字と-_@等の一部の記号以外は含まれません。)

※変数にhidden属性を付けるとブラウザでは表示されませんが、改竄することが可能です。いったんユーザー側で表示されて送信されるデータは必ずチェックしましょう。

http_で始まる環境変数

http_で始まる環境変数はユーザーが設定することができます。 http_referer、http_user_agent等です。 アクセス解析やケータイ振り分け等でこれらの変数を利用する場合には、ユーザーが改変している可能性も考慮しましょう。