書き込み内容からタグを排除する

　初歩から始める初心者向けPerl-CGI講座　■　


	`CGI`の設置方法
	フリーで配布されている`CGI`を設置する際の手順や注意事項などの説明です。

	`CGI`作成の初歩
	初めて`CGI`を作る方向けの手順を簡単な例で説明しています。

	`CGI`作成ヒント集
	こういう事をする時は、どのように行えばいいのか？など具体的な事例を紹介します。

	`CGI`の設置に関する用語
	`CGI`の作成に関する用語
	`CGI`の設置や作成時に使われている用語や関連知識を掲載しています。

	設置に関するFAQ
	作成に関するFAQ
	設置や作成をする際に起こりがちなトラブルの説明と、よくある質問とその回答を掲載しています。

書き込み内容からタグを排除する

掲示板の投稿でタグを含む場合、それを排除する方法です。

タグの排除は必要ないように思えるかもしれませんが悪意を持った方の
書き込みなどにより、別のサーバへの攻撃の踏み台にされたり、本来
発行元でしか読み出せない Cookie を、同じサーバから実行する事により
読み出せてしまったりと大変危険な状態になる可能性があります。

【参考】 Yahoo! Japan 「検索クロスサイトスクリプティング」

下のサンプルソースでは、改行コードを タグに置き換えた後、 < や > などHTMLで
意味のある記号を、同じ記号を示す文字列 < などに置き換えています。

#!/usr/local/bin/perl

#フォームからデータを受け取り変数へ入れる
read(STDIN, $formin, $ENV{'CONTENT_LENGTH'});

# + 記号を半角スペースに戻す
$formin =~ tr/+/ /;

#URLエンコードデータをデコード
$formin =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;

@indata = split (/&/,$formin); #受け取ったデータを＆で区切り、配列へ

foreach $tmp (@indata) #フォームの要素分（配列分）以下の処理を繰り返す
{
	($name,$value) = split (/=/,$tmp); # =記号で区切り、名前 と 値 に分ける
	$forminh{$name} = $value; #区切った名前を付けた連想配列に値を入れる
}

#既存ファイルを読み込み、配列@aaa に入れる
open (IN,"test.txt");
@aaa = <IN>;
close (IN);

#改行コードを <BR>タグに置換える
$forminh{'name'} =~ s/\r\n/<BR>/g;
$forminh{'name'} =~ s/\n/<BR>/g;
$forminh{'name'} =~ s/\r/<BR>/g;

#HTMLで意味のある文字列を置き換える
$forminh{'name'} =~ s/"/&quot;/g;
$forminh{'name'} =~ s/&/&amp;/g;
$forminh{'name'} =~ s/</&lt;/g;
$forminh{'name'} =~ s/>/&gt;/g;

#フォームから受け取ったデータを配列の先頭に追加する
#その際に各要素はコンマで区切り、後で使えるようにする
unshift (@aaa,"$forminh{'name'},$forminh{'mail'}\n");

#新しいデータが追記された配列を test.txt に書き出す
open (OUT,">test.txt");
print OUT @aaa;
close (OUT);

print "Content-type: text/html\n\n";
print <<"HTML";
データの書き込みが完了しました。<BR>
お名前 $forminh{'name'}<BR>
E-Mail $forminh{'mail'}

HTML
exit;

一部のタグのみ許可をする場合、独自のタグで動作させる事がお薦めです。
例えば 太い を許可したい場合、何らかの文字列を決めておき、
それが入力されていたら タグに置き換えるなどというものです。

下のサンプルソースでは、
%%ST%%　を　　に、　%%STE%%　を　　にそれぞれ置換えを行っている為、
書き込みの際に太字にしたい文字列を %%ST%%　文字列　%%STE%%　とすると、
タグに変換される為、独自仕様により一部のタグを有効にする事になります。

#!/usr/local/bin/perl

#フォームからデータを受け取り変数へ入れる
read(STDIN, $formin, $ENV{'CONTENT_LENGTH'});

# + 記号を半角スペースに戻す
$formin =~ tr/+/ /;

#URLエンコードデータをデコード
$formin =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;

@indata = split (/&/,$formin); #受け取ったデータを＆で区切り、配列へ

foreach $tmp (@indata) #フォームの要素分（配列分）以下の処理を繰り返す
{
	($name,$value) = split (/=/,$tmp); # =記号で区切り、名前 と 値 に分ける
	$forminh{$name} = $value; #区切った名前を付けた連想配列に値を入れる
}

#既存ファイルを読み込み、配列@aaa に入れる
open (IN,"test.txt");
@aaa = <IN>;
close (IN);

#改行コードを タグに置換える
$forminh{'name'} =~ s/\r\n/ /g;
$forminh{'name'} =~ s/\n/ /g;
$forminh{'name'} =~ s/\r/ /g;

#HTMLで意味のある文字列を置き換える
$forminh{'name'} =~ s/"/&quot;/g;
$forminh{'name'} =~ s/&/&amp;/g;
$forminh{'name'} =~ s/</&lt;/g;
$forminh{'name'} =~ s/>/&gt;/g;
$forminh{'name'} =~ s/%%ST%%//g;
$forminh{'name'} =~ s/%%STE%%//g;

#フォームから受け取ったデータを配列の先頭に追加する
#その際に各要素はコンマで区切り、後で使えるようにする
unshift (@aaa,"$forminh{'name'},$forminh{'mail'}\n");

#新しいデータが追記された配列を test.txt に書き出す
open (OUT,">test.txt");
print OUT @aaa;
close (OUT);

print "Content-type: text/html\n\n";
print <<"HTML";
データの書き込みが完了しました。 
お名前 $forminh{'name'} 
E-Mail $forminh{'mail'}

HTML
exit;

関連項目

・　CGIの作成に関する用語
・　CGI作成に関するFAQ