【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

[ockeghem]

CSRF脆弱性がありましたが、トークンチェックしているのになぜCSRFになるのかは各自ご確認を

[komutan1]

質問者の素人を装った玄人感。

[khtokage]

勉強になる。／「俺は答えを知っているが（教えるとためにならないとか適当な理由付け）だから自分で調べろ」は、詐欺師もよく使う細かい知識なくても言える台詞なので、言われたら口だけマンの可能性も考えよう！

[b7968]

セッション破棄後に再読すると Notice が表示されるため、安易に空文字列を入れてしまったのが元凶です。トークンが空文字列で一致します。NULLまたは空文字列か確認しエラーにする方がよいとのアドバイスを頂きました

[p260-2001fp]

コメント欄に、ある意味典型的な玄人的回答があって、この世界は相変わらずだなと思う。

[kenixi]

フレームワーク使おう((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

[lifeisadog]

関係ないけどこの書き方嫌い「$$v」

[YukeSkywalker]

<form action="mailto〜で直接送っちゃうのが一番安全な気もする。

[atsushifx]

とりあえず、セキュリティを考えるなら。http://www.geocities.jp/ikepy0n/securitycheck.html をすべてクリアしなくちゃいけない

[uguisyu]

te2jiというIDの目障り感がすごい

[yoshi-na]

徳丸浩氏降臨

[stenpel]

外野が勝手にケンカしててウケる。

[rryu]

セッションにトークンが保存されていないという想定外の状況の時は即座にエラーにすべきだったという案件。

[iTaro]

プログラムは想定した通りの順番で実行されるとは限らないか……。CSRF脆弱性があることを前提に読めば気づくけど、素でコードレビューしたら見落とす自信あり。

[mumincacao]

とーくんのとこ !== で厳格なちぇっくしてるのに未設定時に NULL みたいな文字列以外のもので初期化しないで空文字使っちゃってるのが原因かぁ・・・ （・ｘ【みかん

[okbm]

徳丸先生が回答してる…

[ihok]

そうだ、Googleフォームを使おう！

[hanajibuu]

すげーなー。こんな色々考えてコード書けないわ。そろそろ管理職目指すか。

[marisatokinoko]

空のトークン投げたら通る？

[suquiya0]

色々分かった上でコードは使ったほうがいい、のだろうなあ。

[hakaikosen]

スーパーグローバル変数を安易に上書きしちゃダメよね。

[nida3001]

わからん。CSRF対策回避できる理由と対策勉教しよう…