ファイルシステムのセキュリティ

PHP は、ファイルおよびディレクトリ毎に権限を設定する多くのサーバシステム上に組み込まれたセキュリティを提供します。これにより、ファイルシステム内のファイルを読み込み可能に制御することが可能になります。全てのファイルは世界中から読み込み可能であり、このファイルシステムにアクセスした全てのユーザから読み込まれても安全であることを確認する必要があります。

PHPは、ファイルシステムにユーザレベルのアクセスを許可するように設計されているため、PHPスクリプトから/etc/password のようなシステムファイルを読み込み可能としたり、イーサネット接続を修正したり、巨大なプリンタジョブを出力したりすることができます。これから明らかにわかることですが、読み書きするファイルを適切に設定する必要があります。

各自のホームディレクトリにあるファイルを削除する次のスクリプトを見てみましょう。これは、ファイル管理用にWebインターフェースを使用する場合に通常生じるような設定を仮定しています。この場合、Apacheユーザはそのユーザのホームディレクトリにあるファイルを削除可能です。

例 5-1甘い変数の確認から生じるリスク
<?php // ユーザのホームディレクトリからファイルを削除する $username = $HTTP_POST_VARS['user_submitted_name']; $homedir = "/home/$username"; $file_to_delete = "$userfile"; unlink ($homedir/$userfile); echo "$file_to_delete は削除されました!"; ?>
usernameはユーザフォームから投稿可能であるため、usernameを投稿し、他の誰かが所有するファイルを指定、削除することが可能です。この場合、他の何らかの形式の認証を使用するべきです。投稿された変数が、 "../etc/" と "passwd " であった場合について考えてみましょう。簡単なコードを以下に示します。
例 5-2... ファイルシステムへの攻撃
<?php // 外部からPHPユーザがアクセス可能なハードドライブを削除します。PHPが // ルートのアクセス権限を有している場合、 $username = "../etc/"; $homedir = "/home/../etc/"; $file_to_delete = "passwd"; unlink ("/home/../etc/passwd"); echo "/home/../etc/passwd は削除されました!"; ?>
こうした問題を防止するために必要な重要なチェック手段として以下の2 種類のものがあります。

PHP Webユーザバイナリに制限された権限のみを許可する。
投稿された全ての変数を確認する。

以下に改良されたスクリプトを示します。

例 5-3より安全なファイル名の確認

<?php
// PHPユーザがアクセス可能なハードドライブからファイルを削除する。
$username = $HTTP_SERVER_VARS['REMOTE_USER']; // 認証機構を使用する

$homedir = "/home/$username";

$file_to_delete = basename("$userfile"); // パスを取り除く
unlink ($homedir/$file_to_delete);

$fp = fopen("/home/logging/filedelete.log","+a"); // 削除の記録
$logstring = "$username $homedir $file_to_delete";
fputs ($fp, $logstring);
fclose($fp);

echo "$file_to_delete は削除されました!";
?>

しかし、これでも、傷口を塞いだことにはなりません。ユーザが自分用のユーザログインを作成することをあなたの認証システムが許可しており、ユーザが"../etc/"へのログインを選択した場合、システムはまたも公開されてしまいます。このため、よりカスタマイズされたチェックを行なう方がよいでしょう。

例 5-4より安全なファイル名の確認

<?php
$username = $HTTP_SERVER_VARS['REMOTE_USER'];  // 認証機構を使用する
$homedir = "/home/$username";

if (!ereg('^[^./][^/]*$', $userfile))
    die('bad filename'); // 処理せず、終了。

if (!ereg('^[^./][^/]*$', $username))
     die('bad username'); // 処理せず、終了。
//etc...
?>

オペレーティングシステムにより、注意するべきファイルは大きく変化します。これらには、デバイスエントリ(/dev/ または COM1)、設定ファイル(/etc/ ファイルおよび .ini ファイル)、よく知られたファイル保存領域 (/home/、 My Documents)等が含まれます。このため、明示的に許可するもの以外の全てを禁止する方針とする方が通常はより簡単です。