Webアプリケーションのセキュリティを確保するために、サニタイズ処理は開発の初期段階から意識しておくべき重要な技術です。
「どのようにサニタイズを実装すればよいのか」「エスケープ処理とサニタイズはどう違うのか」といった疑問を持つ開発者も多いでしょう。
本記事では、サニタイズ処理の具体的な仕組みと、HTML・SQL・JavaScriptなどの各コンテキストでの実装方法を実例とともに詳しく解説していきます。
サニタイズ処理の基本的な仕組み
それではまず、サニタイズ処理がどのような仕組みで機能するかについて解説していきます。
サニタイズ処理の処理フロー
Webアプリケーションにおけるサニタイズ処理の基本的なフローは以下のとおりです。
サニタイズ処理の基本フロー
1. ユーザーからの入力受け取り(フォーム・API・URL等)
2. 入力値のバリデーション(型・形式・範囲の検証)
3. サニタイズ処理(特殊文字の変換・除去・エスケープ)
4. 処理されたデータをアプリケーション内部で使用
5. 出力時のコンテキストに応じた追加エスケープ
入力を受け取った段階と、出力する段階の両方でサニタイズ処理を行う「入力サニタイズ」と「出力エスケープ」の二段階対策が最も安全なアプローチとされています。
ホワイトリスト方式とブラックリスト方式
サニタイズには大きくホワイトリスト方式とブラックリスト方式の2つのアプローチがあります。
ホワイトリスト方式とは、許可する文字・値・形式を明示的に定義し、それ以外のものを拒否または除去する方法です。
ブラックリスト方式とは、禁止する文字・パターンを定義し、それらを除去・置換する方法です。
セキュリティの観点からは、ホワイトリスト方式の方が「既知の安全なものだけを許可する」という原則に沿っており、より安全なアプローチとされています。
ブラックリスト方式は「既知の危険なものだけを拒否する」ため、新たな攻撃手法への対応が遅れるリスクがあります。
サニタイズにはホワイトリスト方式(許可するものを明示)とブラックリスト方式(禁止するものを明示)があります。セキュリティ的にはホワイトリスト方式が推奨されます。
インプットサニタイズとアウトプットエスケープの違い
サニタイズと似た概念として「エスケープ」があります。
インプットサニタイズは、受け取った入力データを安全な形式に変換・クリーニングする処理です。
アウトプットエスケープは、データを出力する際に出力先のコンテキストに応じて特殊文字を無害化する処理です。
両者を組み合わせることで、より堅牢なセキュリティ対策が実現できます。
HTMLコンテキストでのサニタイズ実装
続いては、HTMLコンテキストでのサニタイズ処理の具体的な実装方法を確認していきましょう。
HTMLエスケープの実装
ユーザー入力をHTMLページに表示する際の基本的なサニタイズは、HTML特殊文字のエスケープです。
PythonでのHTMLエスケープ実装例
import html
user_input = ‘<script>alert(“XSS”)</script>’
safe_output = html.escape(user_input)
print(safe_output)
→ <script>alert("XSS")</script>
Pythonのhtml.escape関数のように、標準ライブラリやフレームワークが提供するエスケープ関数を使うことが最も確実です。
リッチテキスト入力の安全なサニタイズ
ブログのコメント欄や掲示板など、一部のHTMLタグ(太字、リンクなど)を許可しながら危険なタグを除去したい場合は、より高度なHTMLサニタイズが必要です。
この用途には、DOMPurify(JavaScript)、bleach(Python)、HtmlSanitizer(.NET)などの専用ライブラリが適しています。
これらのライブラリは、許可するタグと属性のホワイトリストを定義し、それ以外を除去するアプローチを採用しています。
JavaScriptコンテキストでのサニタイズ
JavaScriptコードの中にユーザー入力を埋め込む場合は、HTMLエスケープとは異なるサニタイズが必要です。
JavaScriptでは文字列内の「\」「”」「’」「/」「改行」などをエスケープする必要があります。
最も安全な方法は、JavaScriptコードにユーザー入力を直接埋め込まず、JSONを介してデータを受け渡す設計にすることです。
データベース操作でのサニタイズ実装
続いては、データベースへのクエリにおけるサニタイズ実装の方法を確認していきましょう。
プリペアドステートメントによるSQLインジェクション対策
SQLインジェクション対策の最も効果的な手段は、プリペアドステートメント(パラメータ化クエリ)の使用です。
Pythonでのプリペアドステートメント例(SQLite)
conn = sqlite3.connect(‘example.db’)
cursor = conn.cursor()
username = user_input # ユーザー入力
cursor.execute(“SELECT * FROM users WHERE name = ?”, (username,))
(?のプレースホルダーにより、入力値がSQL命令として解釈されない)
プレースホルダー(?)を使うことで、ユーザー入力がSQL命令の一部として解釈されることを根本的に防ぎます。
ORM(オブジェクト関係マッピング)の活用
DjangoのORM、HibernateなどのORMフレームワークを使うことで、SQLインジェクション対策が自動的に行われます。
ORMは内部でプリペアドステートメントを使用するため、生のSQL文を直接記述するリスクを大幅に軽減できます。
ただし、ORM経由でも生のSQLを書く機能を使う場合は、改めてサニタイズの注意が必要です。
入力値の型検証による追加防御
データベースに保存する前に、入力値の型を厳密に検証することも重要な防御層です。
数値フィールドには整数または浮動小数点数であることを確認し、日付フィールドには日付形式の検証を行うことで、不正な文字列がSQLに影響を与えるリスクを低減できます。
型検証はサニタイズと組み合わせて「多重防御」を実現するための重要な要素です。
サニタイズ実装のよくある誤りと対策
続いては、サニタイズ実装でよくある誤りと、それを防ぐための対策について確認していきましょう。
不完全なブラックリスト実装の落とし穴
よくある誤りのひとつが、ブラックリスト方式の不完全な実装です。
たとえば、「scriptタグを除去する」だけの実装では、大文字小文字の混在(「ScRiPt」)や属性へのコード埋め込み(「onerror」イベント)など、さまざまな迂回手法が存在します。
ブラックリスト方式では新たな攻撃手法への対応が常に後手になるため、可能な限りホワイトリスト方式と信頼性の高いライブラリを組み合わせることが推奨されます。
二重エンコーディング攻撃への対応
二重エンコーディング攻撃は、URLエンコードを二重に適用することでサニタイズをすり抜けようとする手法です。
たとえば、「<」を「%3C」にURLエンコードし、さらに「%」を「%25」にエンコードすることで「%253C」という文字列を送り込む攻撃です。
この対策には、デコード処理を行った後でサニタイズを実施する、あるいは実績あるライブラリが処理を担当することで対応できます。
サニタイズのタイミングに関する注意点
サニタイズを「データベース保存時だけ」や「表示時だけ」に行う実装は不完全になりがちです。
最も安全な設計は、入力時のバリデーション・サニタイズと出力時のコンテキストエスケープを組み合わせた多重防御です。
また、サニタイズ済みのデータを再度サニタイズすることで二重エスケープが発生しないよう、処理フローを明確に設計することも重要です。
まとめ
本記事では、サニタイズ処理の仕組み、ホワイトリスト・ブラックリスト方式の違い、HTML・SQL・JavaScriptコンテキストでの実装方法、よくある誤りと対策について解説しました。
サニタイズ処理はWebセキュリティの根幹をなす技術であり、入力時と出力時の両方で適切に実施することが重要です。
信頼性の高いライブラリを活用し、プリペアドステートメントやホワイトリスト方式を組み合わせた多重防御の実装がセキュアなアプリケーション構築の基本です。
日常的な開発の中でサニタイズの意識を持ち続けることが、安全なWebサービスを提供することへの第一歩となるでしょう。
