htmlspecialcharsのShift_JISチェック漏れによるXSS回避策

補足 この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2）。 備忘のため転載いたしますが、この記事は2009年10月9日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、PHPのhtmlspecialchars関数の文字エンコーディングチェック不備をついたクロスサイト・スクリプティング(XSS)脆弱性について、PHP側のパッチが提供されない状況での回避策について説明します。 何が問題か PHPにおいて、XSS対策にはhtmlspecialcharsによって記号をエスケープすることが行われますしかし、htmlspecialcharsを利用していても、Shift_JISの先行バイトを利用して、XSSが発生する場合があります。 例えば、以下のようなINPUTがあ

[mitsugi-bb]

shift_jisでxss。対応＝＞Shift_JIS→Shift_JISの変換

[pm11op]

対策

[mumincacao]

SJIS → SJIS 変換はけ～たいの絵文字をさくっと処分するときにもよく使う方法なのです（・ω・。【みかん

[tohokuaiki]

へぇ。同じ文字コードの変換も意味があるんだ。。

[shin1x1]

これまでの背景と現実的な対処法が分かりやすくまとまっている。見習いたい。

[AKIMOTO]

『PHP側の修正前に、どのようにこの問題に対策すればよいかを説明します』

[mikage014]

今回の問題が発生する条件は「入口・処理・出口まで一貫してShift_JISで扱っている、という条件が攻撃には必須」