徳丸浩の日記: 解答：間違ったCSRF対策～中級編～

この記事は、先日の記事「問題：間違ったCSRF対策～中級編～」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで（できれば自分で解答を考えて）からこの記事をお読みいただくとよいと思います。 それでは、解答を説明します。 はじめに 出題時のわざとらしさから、この問題のポイントはstrcmp関数の挙動にあると気づいた方が多いと思います。 if (empty($_SESSION['token']) || empty($_POST['token']) || strcmp($_POST['token'], $_SESSION['token'])) { // ワンタイムトークン確認 die('正規の画面からご使用ください'); } そして、strcmpの引数はどちらもempty()によるチェックが入っています。また、$_SESSION['token'] は、状態遷移図（下図）により、NU

[co3k]

"この仕様変更は ChangeLog にも掲載されていないのですね" これは実は strcmp 単体の仕様変更ではなく、引数型エラー時の返り値の仕様が全体的に変わっています。 https://co3k.org/blog/33 前に解説エントリを書いたのを思い出した

[tekimen]

PHP マニュアル > 言語リファレンス > 関数 ページ(http://php.net/manual/ja/functions.internal.php )の注意を読むとNULLを返すだろうけど、そうとは限らないみたいなことが書いてありますね(例としてPHP 5.6までのmbstring関数はfalseなど)

[n314]

こういう型自動変換のトラブル、もう今だと strict_types=1 で function equals(string $a, string $b): boolean とか書いたら全部防げるよね。

[xrekkusu]

Web100解答 解答：間違ったCSRF対策～中級編～ | 徳丸浩の日記

[mumincacao]

こっちも無事予想通りだったけど bool 型でない戻り値をそのまま使わずまぬあるにある strcmp() !== 0 ならまだ致命傷で済んだのにって感じだったのです（ーω【みかん

[rryu]

配列かなあとは思っていたが、ドキュメントに無いNULLが返ってくるのは怖すぎる。

[ockeghem]

中級編の解答を公開します