CakePHP4でマスアサインメントを防止するベストプラクティス

Tweet

概要

マスアサインメント（Mass Assignment）は、ユーザー入力データをエンティティに一括で割り当てる方法ですが、適切な対策がないとセキュリティリスクが発生する可能性があります。CakePHP4では、エンティティごとにマスアサインメントを制御し、意図しないデータ操作を防ぐ機能が備わっています。この記事では、CakePHP4でのマスアサインメント防止のベストプラクティスを解説します。

マスアサインメントのリスク

マスアサインメントは、フォーム入力データをエンティティに一括で割り当てることで、効率的にデータベース操作が行える反面、信頼できないフィールドが意図せず上書きされるリスクがあります。たとえば、管理者権限や重要なIDなどのフィールドがユーザーからの入力で変更されてしまうことがあります。

CakePHP4でのマスアサインメント制御

CakePHP4では、エンティティのマスアサインメントに対する制御を行うため、エンティティクラスに以下のようなプロパティを設定します。

1. $_accessible
   フィールドごとにマスアサインメントの許可・不許可を設定するプロパティです。
2. $_hidden
   出力時に表示させたくないフィールドを指定するプロパティで、JSONや配列に変換するときの情報漏洩を防ぎます。

具体的な設定方法

以下は、Userエンティティにおいてroleフィールドやcreated、modifiedのフィールドをマスアサインメントから保護する設定例です。

namespace App\Model\Entity;

use Cake\ORM\Entity;

class User extends Entity
{
    // マスアサインメントを許可するフィールドを定義
    protected $_accessible = [
        'username' => true,
        'email' => true,
        'password' => true,
        // 'role' => false,    // 管理者のみが設定できるフィールドはfalseにする
        // 'created' => false, // 自動的に設定されるフィールドはfalseにする
        // 'modified' => false
    ];

    // JSONや配列に変換する際に非表示にするフィールド
    protected $_hidden = ['password'];
}

例：マスアサインメント防止の効果

上記の設定により、roleやcreatedフィールドはマスアサインメントが禁止され、passwordフィールドはJSONに変換する際に自動的に非表示となります。こうすることで、ユーザーからの入力によって意図せず管理者権限が変更されることを防ぎます。

使い方

// UsersTableのnewEntity()を使用した例
use Cake\ORM\TableRegistry;

$usersTable = TableRegistry::getTableLocator()->get('Users');
$data = [
    'username' => 'testuser',
    'email' => 'test@example.com',
    'password' => 'password123',
    'role' => 'admin' // マスアサインメントから除外されているため反映されない
];

$user = $usersTable->newEntity($data);
$usersTable->save($user);

上記の例では、roleフィールドはマスアサインメントが禁止されているため、ユーザーの権限をadminに設定しようとしても無効化され、デフォルトの役割が保持されます。

一括許可または一括禁止の設定

$_accessibleに'*' => trueや'*' => falseを設定すると、全てのフィールドの一括許可または禁止ができます。ただし、全フィールドの許可はセキュリティ上のリスクが高いため、推奨されません。

// すべてのフィールドを一括禁止（推奨）
protected $_accessible = [
    '*' => false,
    'username' => true,
    'email' => true,
    'password' => true
];

ベストプラクティス

1. 重要フィールドはマスアサインメント禁止
   roleやid、created、modifiedなど、ユーザーが操作すべきでないフィールドはfalseに設定します。

2. 非表示設定を活用して情報漏洩防止
   passwordやAPIキーなどの重要情報は$_hiddenに追加し、JSON出力時に表示させないようにします。

3. デフォルトでは禁止し、必要なフィールドのみ許可
   全フィールドを禁止する設定にした上で、必要なフィールドのみを許可することで、セキュリティリスクを最小化します。

まとめ

CakePHP4でマスアサインメントを正しく制御することで、ユーザーが本来操作するべきでないデータの変更を防ぐことが可能です。特に、セキュリティ上重要なフィールドや自動更新されるフィールドはマスアサインメントを禁止し、予期せぬデータ操作を防ぎましょう。この記事を参考に、CakePHP4で安全なデータ処理を実装してください。