皆さんは同じスクリプトへのリンクを貼る時、どの様に記述していますか？ $_SERVER['PHP_SELF']を用いることがあるのではないでしょうか。これを直接用 いることは危険です。なぜならば、$_SERVER['PHP_SELF']にはクロスサイト・ス クリプティング（XSS）脆弱性が存在するからです。

$_SERVER['PHP_SELF']はしばしば次のように使われます。

<form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>">

このページ（ここではhttp:/www.example.jp/example.php）へ下記の様にリンク を貼り、クリックしてみて下さい。

<a href="http://www.example.jp/
example.php/%22%3E%3Cscript%3Ealert(%27XSS%27);%3C/script%3E/">

JavaScriptが実行され、アラートでXSSと表示されたと思います。なぜこのよう なことが起こるのでしょうか？これは$_SERVER ['PHP_SELF']の本質に関わって くる問題です。

$_SERVER['PHP_SELF']は渡されたURIのHOST部分の後から、GETクエリ部分の前ま で（ここには記述していませんが、一般的には?id=10&type=0などの?の前まで） をURLデコードした形で格納します。つまり上記の場合、$_SERVER ['PHP_SELF']は

/example.php/"><script>alert('XSS')</script>/

となります。この結果、formタグ内のaction属性値にそのまま表示されると、 JavaScriptを実行してしまいます。

これを防ぐ方法は、$_SERVER['PHP_SELF']をhtmlspecialcharsでエスケープする ことです。また、CGI版以外では$ _SERVER['PHP_SELF']の代わりに$_SERVER ['SCRIPT_NAME']を用いることも可能です。もしくは、formタグ内の action属性 値を空にしてもいいでしょう。

同様の脆弱性が$_SERVER['PATH_INFO']と$_SERVER['PATH_TRANSLATED']にも存在 します。お気を付け下さい。

この記事は、アシアルが運営するＰＨＰ開発者のためのポータル＆コミュニティサイト「ＰＨＰプロ！」で毎週配信しているＰＨＰ・ＴＩＰＳメーリングリストを再録したものです。
同サイトでは、他にもＰＨＰ最新ニュースや、困ったときのＱ＆Ａ掲示板、初心者向けのＰＨＰ講座など、ＰＨＰ開発者をサポートする情報を掲載しています。