PHPで機能的なWebアプリケーションを作れるようになったら、次に取り組むべき最も重要な課題は「セキュリティ」です。どんなに便利な機能も、脆弱性(ぜいじゃくせい)があれば、悪意のある攻撃者によっていとも簡単に破壊されたり、大切なユーザー情報を盗まれたりしてしまいます。
この記事では、Web開発者が最低限知っておくべき代表的な脆弱性と、PHPでそれらに対処するための具体的な対策方法をセットで解説します。安全なWebアプリケーションを構築するための「守りの知識」を身につけましょう。
1. クロスサイトスクリプティング (XSS) 対策
脅威: ユーザーが入力した内容を表示する箇所(コメント欄やプロフィールなど)に、悪意のあるJavaScriptコードを埋め込まれてしまう攻撃です。このスクリプトが他のユーザーのブラウザで実行されると、個人情報(クッキーなど)が盗まれる可能性があります。
対策の鉄則: 「出力するデータは、例外なく全てエスケープする」
具体的な方法: PHPのhtmlspecialchars()関数を使います。この関数は、HTMLで特別な意味を持つ文字(<, >, &, "など)を、無害な文字列(<, >など)に変換してくれます。
<?php
// 毎回htmlspecialcharsを書くのは大変なので、短い関数にまとめるのが一般的
function h(string $str): string {
return htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}
// ユーザーからの入力を受け取ったと仮定
$user_comment = '<script>alert("XSS攻撃");</script>';
?>
<p><?php echo $user_comment; ?></p>
<p><?php echo h($user_comment); ?></p>
2. SQLインジェクション対策
脅威: データベースと連携する検索フォームやログインフォームで、入力値に不正なSQL文を注入(インジェクション)され、データベースを不正に操作されたり、情報を抜き取られたりする攻撃です。
対策の鉄則: 「SQL文は、必ずプリペアドステートメントで組み立てる」
具体的な方法: データベース操作にはPDOを使い、ユーザーからの入力値は必ずプレースホルダ(:nameのような目印)を介して、bindValue()で後から紐付けます。
<?php
// ... PDO接続は完了していると仮定 ...
$user_id = $_GET['id']; // 例: "1; DELETE FROM users" のような攻撃文字列
// 間違った方法(変数を直接SQLに埋め込んでいる)
// $sql = "SELECT * FROM users WHERE id = {$user_id}"; // ← 絶対にNG!
// 正しい方法(プリペアドステートメント)
$sql = "SELECT * FROM users WHERE id = :id";
$stmt = $dbh->prepare($sql);
$stmt->bindValue(':id', $user_id, PDO::PARAM_INT); // 値を安全に紐付け
$stmt->execute();
プリペアドステートメントを使えば、PHPが変数の値を単なる「データ」として扱うため、SQL文として実行されることはなく、攻撃を根本的に防ぐことができます。
3. クロスサイトリクエストフォージェリ (CSRF) 対策
脅威: ログイン中のユーザーが、悪意のあるサイトに仕掛けられた罠(リンクやボタン)をクリックすることで、意図しないリクエスト(例:「退会する」「高額な商品を買う」など)を自分のアカウントで実行させられてしまう攻撃です。
対策の鉄則: 「そのリクエストが、本当に自分のサイトの正規のフォームから送られたものかを確認する」
具体的な方法: トークンを使った方法が一般的です。
- 重要な操作を行うフォームを表示する際、ランダムで推測困難な文字列(トークン)を生成します。
- 生成したトークンを、サーバーのセッションと、フォームの**
hiddenフィールド**の両方に保存します。 - フォームが送信されたら、セッション内のトークンと、
hiddenフィールドで送られてきたトークンが一致するかを検証します。一致しなければ、不正なリクエストとして処理を中断します。
【form_page.php – トークンを生成・セットする側】
<?php
session_start();
// 安全なランダムトークンを生成
function generate_token(): string {
return bin2hex(random_bytes(32));
}
$token = generate_token();
$_SESSION['csrf_token'] = $token;
?>
<form action="process_page.php" method="POST">
<input type="hidden" name="csrf_token" value="<?php echo h($token); ?>">
<input type="submit" value="重要な処理を実行">
</form>
【process_page.php – トークンを検証する側】
<?php
session_start();
function validate_token(string $token): void {
if (empty($_SESSION['csrf_token']) || $_SESSION['csrf_token'] !== $token) {
die('不正なリクエストです。');
}
}
$token = $_POST['csrf_token'] ?? '';
validate_token($token);
// トークンが正しければ、ここから先の処理を実行
echo '正常なリクエストとして処理されました。';
4. パスワードの安全な保存
脅威: データベースにパスワードを平文(そのままの文字列)や、MD5/SHA1などの古いハッシュ関数で保存すること。万が一データベースが漏洩した場合、全ユーザーのパスワードが流出してしまいます。
対策の鉄則: 「パスワードは、password_hash()でハッシュ化して保存する」
具体的な方法: PHPに組み込まれているpassword_hash()とpassword_verify()を使いましょう。これらは、現在推奨されている安全なアルゴリズムを自動で利用してくれます。
// 登録時: パスワードをハッシュ化してDBに保存
$hashed_password = password_hash('my_secret_password', PASSWORD_DEFAULT);
// ログイン時: 入力されたパスワードと、DBのハッシュが一致するか検証
if (password_verify('my_secret_password', $hashed_password)) {
echo 'パスワードが一致しました。';
}
5. その他の重要なセキュリティ対策
- パストラバーサル: ユーザーが入力したファイル名を使ってファイルを読み書きする際は注意が必要です。
basename()関数でファイル名からディレクトリ情報(../など)を取り除くなど、意図しないファイルにアクセスされない対策が必要です。 - 通信の暗号化 (SSL/HTTPS): ログイン機能や個人情報を扱うサイトでは、通信全体を暗号化するHTTPSが必須です。これにより、通信の盗聴を防ぎます。
- エラーメッセージ: 本番環境では、PHPの詳細なエラーメッセージを画面に表示しないように設定(
php.iniでdisplay_errors = Off)しましょう。エラーメッセージは、攻撃者にシステムの内部情報に関するヒントを与えてしまいます。
まとめ
セキュリティ対策は、後から追加する「機能」ではありません。開発の初期段階から常に意識し、設計に組み込むべき「基本原則」です。
| 脅威 | 対策の鉄則 |
| XSS | 出力は全てエスケープ (htmlspecialchars) |
| SQLインジェクション | プリペアドステートメントを使用 |
| CSRF | トークンで正規のリクエストか検証 |
| パスワード漏洩 | **password_hash**でハッシュ化 |
これらの基本原則を守るだけでも、Webアプリケーションの安全性は飛躍的に向上します。常に「ユーザーからの入力はすべて信頼しない」という姿勢で、安全なコーディングを心がけましょう。
