現在「完了」、進捗 100%。
最新報告「ホロスプランニングコンタクトフォーム修正」(2026-03-02 19:04:41)
SMTPパスワードのハードコード | 環境変数へ移動、パスワード変更 | XSS(全出力) | htmlspecialchars() の徹底 | メールヘッダーインジェクション | メールアドレス検証 | SRF対策なし | トークン実装 | 名前フィールド入れ替えバグ | 変数を修正 |
htmlspecialchars()
https://holos-ins.com/recruit/
以下対応しました。 テストページに反映しています。 https://holos-ins.com/recruit/test_index.php
① XSS対策 → 対応済み index.php:94 で h() 関数が定義されており、全出力箇所で のように使用されている
② SMTP認証情報のハードコード → 対応済み index.php:1071-1083 で .env ファイルから getenv() で読み込む方式になっており、パスワードのハードコードはない
③ メールヘッダーインジェクション → 対応済み index.php:172 で filter_var($form_mail, FILTER_VALIDATE_EMAIL) によるフォーマット検証が行われている
④ CSRF対策 → 対応済み index.php:5-18 で generate_csrf_token() / verify_csrf_token() が実装されており、全フォームにhiddenトークンが埋め込まれている
⑤ 名前フィールドの入れ替えバグ → 該当なし 現在のコードでは form_name には $form_name、furigana には $form_furigana が正しくセットされている
# 見出し h1 ## 見出し h2 ### 見出し h3 #### 見出し h4 ##### 見出し h5 **太字** 水平線 --- > 引用テキスト > 引用テキスト ``` コードの表示(ブロック) コードの表示(ブロック) コードの表示(ブロック) ``` * リスト * リスト * リスト 0. 番号リスト 0. 番号リスト
以下対応しました。
テストページに反映しています。
https://holos-ins.com/recruit/test_index.php
① XSS対策 → 対応済み
index.php:94 で h() 関数が定義されており、全出力箇所で のように使用されている
② SMTP認証情報のハードコード → 対応済み
index.php:1071-1083 で .env ファイルから getenv() で読み込む方式になっており、パスワードのハードコードはない
③ メールヘッダーインジェクション → 対応済み
index.php:172 で filter_var($form_mail, FILTER_VALIDATE_EMAIL) によるフォーマット検証が行われている
④ CSRF対策 → 対応済み
index.php:5-18 で generate_csrf_token() / verify_csrf_token() が実装されており、全フォームにhiddenトークンが埋め込まれている
⑤ 名前フィールドの入れ替えバグ → 該当なし
現在のコードでは form_name には $form_name、furigana には $form_furigana が正しくセットされている