なぜPHPアプリにセキュリティホールが多いのか?
第13回 最後のPHP4 ── PHP4.4.9リリース
PHP4の最後のリリースとなるPHP 4.4.9が8月7日にリリースされました。筆者は「PHP4のメンテナンス状態はよくないので,可能な方は早くPHP5に移行すべき」と啓蒙してきました。しかし,大規模なシステムの場合,PHP4からPHP5への移行は簡単ではありません。筆者もgihyo.jpに比較的詳細な移行の注意点を解説させていただいています。
- 特集:残り一年! PHP4からPHP5への移行(2007年8月)
現在ではオンラインマニュアルの移行ガイドもかなり充実しています。
ビジネスユーザの場合,サービスを安定的に提供するために互換性のチェックやコードの修正が不可欠です。移行作業をしっかり行うにはかなりのコストが必要です。さらにPHP5はPHP4に比べバージョンアップが頻繁です。バージョンアップが頻繁であることはコストアップに直接つながります。このため,PHP4からPHP5に移行するためだけに予算を組むことは合理的な判断と言えませんでした。この結果,現在でもPHP4で運用しているビジネスユーザが多くいます。
PHP4をより安全に利用するTIPS
データベースクエリ用の文字列エスケープには専用関数を利用する
PHP4用のアプリケーションは古い物も多いので,データベースクエリ文字列のエスケープにaddslashes関数が利用されている物も少なくないと思います。addslashesによるエスケープでは文字エンコーディングベースのSQLインジェクションに脆弱になる場合があるので,pg_escape_string関数,mysql_real_escape_string関数を利用してエスケープしなければなりません。
MySQLを利用する場合,SET NAMESを利用しない
PHP4のMySQLはmysql_set_charset関数がバックポートされていません。このため,文字エンコーディングをSET NAMESで変更すると文字エンコーディングベースのSQLインジェクションが可能となる場合があります。SET NAMESを利用していても,文字エンコーディングが変更されていない場合は影響を受けません。
PostgreSQLを利用する場合,クライアント文字エンコーディングを変更しない
PHP4のPostgreSQLモジュールのpg_escape_string関数はデータベース接続引数が指定できません。利用するPostgreSQLのバージョンによっては文字エンコーディングベースのSQLインジェクションが可能になります。
入力文字のエンコーディングをmb_check_encoding関数で検証する
auto_include_file等を利用し,すべての入力文字列が正しい文字エンコーディングであることをチェックします。auto_include_file設定を利用すれば,PHPソースを変更しなくても文字エンコーディングを検証できるようになります。PHP 4.4.9以下, PHP 5.2.6以下のmb_check_encoding関数はヌル文字攻撃に脆弱なので文字列中に不正なヌル文字が含まれていないかもチェックします。
バンドル版のlibgdを利用しない
バンドル版のlibgdは脆弱性を含む古いコードが含まれています。PHPをソースからビルドしている場合,configureオプションで--with-gd=/usr等と利用するシステム上のlibgdライブラリを利用すれば,より安全にGDモジュールを利用できます。
セッション管理にクッキーのみを利用する
PHP4のsession.use_only_cookiesはデフォルトで無効に設定されています。セッション管理はクッキーのみを用いて行わないとなりません。
セッションモジュールにパッチを当てる
PHPのセッションモジュールはセッションアダプション(Session Adoption)と呼ばれる脆弱性があります。セッション管理にクッキーのみを利用していてもセッションアダプションの影響を受ける場合があります。
筆者のWikiにPHP5用のパッチ(※1)とMasugataさんがポートされたPHP4用のパッチを掲載しています。
- ※1
- Stefan Esser氏がPHP5.1用に書いたパッチに筆者がSQLiteサポートを追加し,PHP5.2.6対応したパッチ
商用サポートを利用する
SRA OSS Incでは商用のPHP4延長サポートサービスを提供しています。
このサービスを利用するとPHP5で発見された新しい脆弱性がPHP4にも影響する場合,パッチ提供が受けられます。現在のところ,上記の脆弱性すべてに対応しています。PHP5ではサポートされているセキュリティ設定であるallow_url_include設定もサポートされています。
ビジネスユーザはPHP5に移行するならPHP6とも互換性が高いPHP 5.3がリリースされるまで待ちたい場合,商用サポートの利用を検討するのもよいでしょう。
大垣靖男(おおがきやすお)
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。
著書
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH40_4774125024.jpg){kind=small}
なぜPHPアプリにセキュリティホールが多いのか?
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
![[改訂3版]図解でよくわかる ネットワークの重要用語解説](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138213.jpg){kind=small}
