PHPセキュリティ対策：文字列入力とバリデーション

「数値入力とバリデーション」に続き、今回は、入力データが文字列である場合、PHPで入力バリデーションを行うプログラムを作ってみることにする。

（2022年6月27日）FastCGIで正常動作しない不具合を修正
（2022年5月18日）大幅改訂，pahooInputData.php分離，PHP8対応

プログラムを実行する

1. サンプル・プログラムの実行例
2. サンプル・プログラム
3. 解説：入力要件など
4. 解説：文字列バリデーション
5. 解説：バリデーション付き文字列取得
6. 参考サイト

ダウンロード（PHP8対応）

圧縮ファイルの内容

getValidString1.php	サンプル・プログラム本体。
pahooInputData.php	データ入力に関わる関数群。 使い方は「数値入力とバリデーション」「文字入力とバリデーション」などを参照。include_path が通ったディレクトリに配置すること。

0040: //表示幅（ピクセル）
0041: define('WIDTH', 600);
0042: 
0043: //入力要件
0044: $InputRequirements = array(
0045:     //オブジェクト名, ラベル名, 最小長, 最大長, 排除パターンかどうか, マッチングパターン
0046:     array('id',   'ID',       1, 10, FALSE, array('/^[0-9]+$/')),
0047:     array('kana', 'カナ氏名', 1, 30, FALSE, array('/^[ァ-ヶ]+$/ui')),
0048:     array('name', '氏名',     1, 20, FALSE, array('/^[Ａ-Ｚぁ-んァ-ヶー一-龠]+$/ui')),
0049: );
0050: 
0051: /**

文字列入力の要件として4つのパラメータを用意した。

1. 最小長‥‥入力を許容する文字列の最小長。マルチバイト文字も1文字と数える。
2. 最大長‥‥入力を許容する文字列の最大長。マルチバイト文字も1文字と数える。
3. 排除パターンかどうか‥‥つづくマッチングパターン配列が、そのパターンにマッチする文字列を排除したいときはTRUEを、受容したいときはFALSEを指定する。
4. マッチングパターン配列

サンプル・プログラムでは、ID、カナ氏名、氏名の3つの入力項目を用意し、それぞれに入力要件を設定した。これを配列 $InputRequirements に定義してある。
入力要件は次の通り。

• ID‥‥1文字以上、10文字以下、数字のみ
• カナ氏名‥‥1文字以上、30文字以下、全角カタカナのみ
• 氏名‥‥1文字以上、20文字以下、全角英字・ひらがな・カタカナ・漢字のみ

冒頭の実行例では、カナ氏名に全角ひらがなが含まれるため、エラーメッセージを表示している。

なお、データ入力に関わる関数群は別ファイル "pahooInputData.php" に分離しており、include_path が通ったディレクトリに配置すること。

0278: /**
0279:  * 文字列バリデーション
0280:  * @param   string $data      バリデーションしたい文字列
0281:  * @param   int    $minlen    入力可能な最小長（省略時=1）
0282:  * @param   int    $maxlen    入力可能な最大長（省略時=99）
0283:  * @param   bool   $exclusion $patternsはTRUE：排除／FALSE：受容(省略時=TRUE)
0284:  * @param   array  $patterns  排除／受容するパターンマッチ配列(省略時=NULL)
0285:  * @param   string $errmsg    エラーメッセージを格納する
0286:  * @return  bool TRUE：成功／FALSE：失敗
0287: */
0288: function validString($data, &$errmsg, $minlen=1, $maxlen=99, $exclusion=TRUE, $patterns=NULL) {
0289:     $res = TRUE;
0290:     $errsg = '';
0291: 
0292:     //引数チェック
0293:     if ($minlen > $maxlen) {
0294:         $errmsg = "最小長（{$minlen}）が最大長（{$maxlen}）より大きい";
0295:         $res = FALSE;
0296: 
0297:     //文字列バリデーション
0298:     } else {
0299:         //値の存否
0300:         if ($data == '' || $data == NULL) {
0301:             $errmsg = '値がありません';
0302:             $res = FALSE;
0303:         //最小長チェック
0304:         } else if (mb_strlen($data) < $minlen) {
0305:             $errmsg = sprintf("最小長(%d)より短い", $minlen);
0306:             $res = FALSE;
0307:         //最大長チェック
0308:         } else if (mb_strlen($data) > $maxlen) {
0309:             $errmsg = sprintf("最大長(%d)より長い", $maxlen);
0310:             $res = FALSE;
0311:         //受容パターンのチェック
0312:         } else if (!$exclusion && ($patterns != NULL)) {
0313:             foreach ($patterns as $pat) {
0314:                 if (preg_match($pat, $data) == 0) {
0315:                     $errmsg = '受容できない文字が含まれています';
0316:                     $res = FALSE;
0317:                     break;
0318:                 }
0319:             }
0320:         //排除パターンのチェック
0321:         } else if (!$exclusion && ($patterns != NULL)) {
0322:             foreach ($patterns as $pat) {
0323:                 if (preg_match($pat, $data) > 0) {
0324:                     $errmsg = '受容できない文字が含まれています';
0325:                     $res = FALSE;
0326:                     break;
0327:                 }
0328:             }
0329:         }
0330:     }
0331:     return $res;
0332: }

ユーザー関数 validString は、与えられた文字列 $data が前述の入力要件を満たすかどうかバリデーションを行い、問題があった場合にはエラーメッセージ $errmag を戻す。

まず、引数 $minlen と $maxlen の大小関係に矛盾がないかどうかをチェックする。
次に文字列バリデーションを行うが、下記の順序でバリデーションを行う。

1. 値は存在するか（空文字ではないか）
2. 最小長と最大長の範囲にあるか
3. $exclusionが受容なら、配列 $patterns の要素1つずつにマッチングさせ、受容できない文字が含まれているかどうかチェックする
4. $exclusionが排除なら、配列 $patterns の要素1つずつにマッチングさせ、受容できない文字が含まれているかどうかチェックする

0334: /**
0335:  * 文字列を取り出す（文字列バリデーション付き）
0336:  * @param   string $key       パラメータ名（省略不可）
0337:  * @param   string $errmsg    エラーメッセージを格納する（省略不可）
0338:  * @param   mixed  $def       初期値（省略時：空文字）
0339:  * @param   int    $minlen    入力可能な最小長（省略時=1）
0340:  * @param   int    $maxlen    入力可能な最大長（省略時=99）
0341:  * @param   bool   $exclusion $patternsはTRUE：排除／FALSE：受容(省略時=TRUE)
0342:  * @param   array  $patterns  排除／受容するパターンマッチ配列(省略時=NULL)
0343:  * @param   string $errmsg    エラーメッセージを格納する
0344:  * @return  string 入力値
0345: */
0346: function getValidString($key, &$errmsg, $def='', $minlen=1, $maxlen=99, $exclusion=TRUE, $patterns=NULL) {
0347:     $data = (string)getParam($key, TRUE, $def);      //URLパラメータを取り出す
0348:     $str = trim($data);                              //先頭・末尾の空白文字を除く
0349:     $str = htmlspecialchars($str);                   //XSS対策
0350:     //文字列バリデーション
0351:     if ($str != '') {
0352:         $res = validString($data, $errmsg, $minlen, $maxlen, $exclusion, $patterns);
0353:     }
0354: 
0355:     return $str;
0356: }

ユーザー関数 getValidString は、HTML FORMに入力された文字列を取り出し、バリデーションを実施する。
HTML FORMからデータを取り出すユーザー関数 [getParam:b;lue] については、「PHPでGET／POSTでフォームから値を受け取る」を参照いただきたい。
次に、取り出したデータの先頭、末尾の空白文字を組み込み関数  trim  によって取り除く。
さらに、組み込み関数  htmlspecialchars  を使って特殊文字をエスケープしておく。これは[クロスサイトスクリプティング（XSS）対策のためである。
最後に、ユーザー関数 validNumber を使ってバリデーションを行う。
バリデーションの成否にかかわらず、入力データは、先頭・末尾の空白を取り除き、特殊文字をエスケープした状態で、戻り値とする。バリデーションで問題が発生した場合は $errmsg にエラーメッセージが入る仕組みである。

0194: // メイン・プログラム ======================================================
0195: //パラメータ
0196: $errmsg = '';
0197: $num = getValidNumber('num', $errmsg, '', CLASS_INT, NUM_MIN, NUM_MAX);
0198: 
0199: //リセット
0200: if (isButton('reset')) {
0201:     $num = '';
0202: }
0203: 
0204: //表示HTML作成
0205: $HtmlBody = makeCommonBody($num, $errmsg);
0206: 
0207: //表示
0208: echo $HtmlHeader;
0209: echo $HtmlBody;
0210: echo $HtmlFooter;

メインプログラムは簡素なものになった。
入力項目の各々について、ユーザー関数 getValidString を使って、バリデーション付きで数値取り出しを行い、それを画面に表示する。

• PHPでGET／POSTでフォームから値を受け取る：ぱふぅ家のホームページ
• PHPセキュリティ対策：数値入力とバリデーション：ぱふぅ家のホームページ