定期的に業務で不正なリクエストがないか見ています。 その調査でふと、PHPはGETリクエストに含まれるボディの値が取得できてしまうのか、 取得可能であればそこも気にしなければなぁ、ということで調べてみました。

GETリクエストのボディ？

GETは指定したURIの情報を取得するためのもので、通常ボディは含めませんが、やろうと思えば指定は可能です。

A payload within a GET request message has no defined semantics; sending a payload body on a GET request might cause some existing implementations to reject the request.

https://tools.ietf.org/html/rfc7231#section-4.3.1

RFCでも、特にダメですとは言われてはいない。 一部、リクエストを拒否する既存の実装があるかもね。くらい

環境

• サーバ: PHP7.3 + PHP-FPM + nginx (docker)
• リクエストの送信: Burp Suite

まずは、スーパーグローバル変数 $GET $POST $_REQUEST で確認

PHPファイルを用意する

以下のように、$GET, $POST, $_REQUESTで受け取れるPHPファイルを用意しました。

<?php
echo "\$_GET query_param: " . $_GET["query_param"] . "¥n";
echo "\$_GET body_param: " . $_GET["body_param"] . "¥n";
echo "\$_POST query_param: " . $_POST["query_param"] . "¥n";
echo "\$_POST body_param: " . $_POST["body_param"] . "¥n";
echo "\$_REQUEST query_param: " . $_REQUEST["query_param"] . "¥n";
echo "\$_REQUEST body_param: " . $_REQUEST["body_param"] . "¥n";

リクエストを準備する

POSTリクエスト

POST /index.php?query_param=hoge HTTP/1.1
Host: www.example.com:8888
Content-Type: application/x-www-form-urlencoded
Origin: http://www.example.com:8888
Content-Length: 9

body_param=huga

GETリクエスト（body付き）

GET /index.php?query_param=hoge HTTP/1.1
Host: www.example.com:8888
Content-Type: application/x-www-form-urlencoded
Origin: http://www.example.com:8888
Content-Length: 9

body_param=huga

まずは、POSTリクエストの結果

HTTP/1.1 200 OK
Server: nginx/1.15.12
Date: Sun, 14 Jun 2020 03:02:41 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/7.3.11
Content-Length: 143

$_GET query_param: hoge
$_GET body_param:
$_POST query_param:
$_POST body_param: huga
$_REQUEST query_param: hoge
$_REQUEST body_param: huga

• $_GETでリクエストBobyの値は取れませんでした。
• $_POSTでクエリパラメータの値は取れませんでした。

まずは、予想通り

続いて今回確認したかった、GETリクエストの結果

HTTP/1.1 200 OK
Server: nginx/1.15.12
Date: Sun, 14 Jun 2020 03:07:42 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/7.3.11
Content-Length: 135

$_GET query_param: hoge
$_GET body_param:
$_POST query_param:
$_POST body_param:
$_REQUEST query_param: hoge
$_REQUEST body_param:

このようになりました。 GETメソッドが来た場合は、$GET, $POST, $_REQUESTではリクエストbodyの値は取得できないことがわかりました。

php://input を使ってみる

php://input は読み込み専用のストリームで、 リクエストの body 部から生のデータを読み込むことができます。

https://www.php.net/manual/ja/wrappers.php.php

これを使ってみます。

PHPファイルを用意

<?php

$hoge = file_get_contents('php://input');
echo $hoge;

リクエストを準備する

先ほどと同じやつです。

GET /index.php?query_param=hoge HTTP/1.1
Host: www.example.com:8888
Content-Type: application/x-www-form-urlencoded
Origin: http://www.example.com:8888
Content-Length: 15

body_param=huga

結果

HTTP/1.1 200 OK
Server: nginx/1.15.12
Date: Sun, 14 Jun 2020 03:14:09 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/7.3.11
Content-Length: 15

body_param=huga

リクエストボディの値が、そのままの形で取得できました！ （POST, PUT, PATCH, DELETEでも確認してみましたが、結果は同じでした。）

まとめ

• $GET $POST $_REQUEST では、GETリクエストのボディに含まれる値は取得できない
• php://input を使うと、GETリクエストのボディに含まれる値はそのままの形で取得できる
  • おそらく、HTTPのメソッド関係なく取得できるものと思われます

ということがわかりました〜。

以上

PHPバージョンアップに伴い、memcachedライブラリを2系から3系にバージョンアップしたところ、以下のようなエラーが度々発生するようになってしまいました。 （結果的には、ローカル環境で気付けたため、本番導入時には解決した状態で適用することができました。）

Warning: session_start(): Unable to clear session lock record in /var/www/app/index.php on line 6
Warning: session_start(): Failed to read session data: memcached (path: memcached:11211) in ...

どんなときに発生するか

• そこそこレスポンス待つような処理の実行中に、同じセッションで別の作業をしようとしたとき
• xdebugでのリモートデバッグでレスポンスタイムアウトになり、その後再度リクエストを送ったとき（このケースではずっとロックが外れなくなってしまう）

原因

原因としては、memcached2系から3系でセッションロックの期限に関する設定項目が変更されたためでした。

memcached2系の設定

memcached.sess_lock_expire で、ロック待ちの時間を設定することができます。 0（デフォルト）のときは、max_execution_time の値が設定されます。 （max_execution_timeのデフォルトは30秒 https://www.php.net/manual/ja/info.configuration.php）

https://github.com/php-memcached-dev/php-memcached/blob/2.2.0/memcached.ini#L21-L25

（余談ですが、php.netにある設定はmemcached2系の設定しか載ってないんですよね。） https://www.php.net/manual/ja/memcached.configuration.php#ini.memcached.sess-lock-wait

memcached3系の設定

3系では、ロック待ちの時間が細かく設定できるようになっていましたが、 デフォルトのままだと max_execution_time の値は見ずに、固定で150msとなってしまっており、ここの値が大きく下がったことが原因でした。 https://github.com/php-memcached-dev/php-memcached/blob/v3.1.5/memcached.ini#L7-L19

対応

今まで、memcached2系のときと同じ設定になるようにしました。 （今のところは問題起きてはなさそうです。）

最後に

原因を調べてみても、同じような現象になっている人の記事は見つかるものの、ロック取得に失敗している => じゃあ、値を増やしてみましょう的な対応しか書かれていないものが多く、ちゃんとした原因がわからずでしたが、本家の設定をちゃんと読んでいくことで、原因が突き止められたのでよかったです。

なお、原因の調査には、以前 php-memcached 2.2.0 と 3.1.4 でデータの互換性があるのか確認する で使用した環境を使いました。検証環境をDockerで立ち上げられるよう残しておくと何かと役立つ時があってよいですね。

github.com

以上。

例えば、

• ファイルのアップロード処理
• CSVのインポート処理
• 入力項目の多い登録処理

上記のような処理をE2Eでデバッグ実行しようとすると、ファイルを準備したり値を画面からいっぱい設定したり・・・それを何度も実行しようとするとそこそこ手間だったりします。 さらにテストコードがないようなコードの挙動を調査するときはもう大変。

今まで私はそのようなケースでは、一度chromeのCopy as cURLでcurlコマンドを取得してそれを使うようにしていたのですが、 最近では、Burp Suiteを使っています。

Burp Suiteというとセキュリティ診断などで使用するイメージが強いかもしれませんが、 ローカルプロキシツールがメインとなるツール（でいいのかな？）でリクエストの保持・内容の変更などが行なえるので、 これを利用しデバッグをしています。

私がデバッグするときは、このBurp SuiteのRepeater機能を使っています。 インストール方法やRepeater機能の使い方については、以下に丁寧に書かれているので、こちらを見ていただけるとわかるかと思います。

ローカルプロキシツールBurpの使い方 その1 ～ Proxy機能編 ～ | パーソルテクノロジースタッフ株式会社

ローカルプロキシツールBurpの使い方 その2 ～ Repeater機能編～ | パーソルテクノロジースタッフ株式会社

xdebugを併用する

さらに、PHPの場合、xdebugのリモートデバッグを併用するともっと楽にデバッグできます。

以下は、昔書いた Docker + PhpStorm 環境でXdebugのリモートデバッグが使えるようにするための手順

takapi86.hatenablog.com

私がやっているデバッグの一連の流れ

私はよく以下の方法で、デバッグを行っています。

• ローカルプロキシを設定済みのブラウザを立ち上げる
• Burp Suiteの[Proxy]タブ->[Intercept]タブで開いた画面からInterceptをoffにしておく
• デバッグしたいWebアプリケーションの処理を実行する
• Burp Suiteの[Proxy]タブ->[HTTP history]タブをクリックするとこれまでにリクエストした一覧が出てくるので、デバッグしたいリクエストを[右クリック]->[Send to Repeater]をクリック
• [Repeater]タブをクリックすると、送ったリクエストの内容が表示されるので、[Send]ボタンを押す
• そうすると、先程画面から実行したリクエストが再度発行されるので、デバッグしたいタイミングでこの[Send]ボタンを押していく
  • ※ リクエストの内容を変えたい場合は、同画面の[Params]から変更することができます。
• xdebugで、ブレイクポイントを置いてあげるとそこで止まるので、そこで変数の値をみたり色々しながら、デバッグしていく

といった流れでよく作業をしています。 ※ CSRF対策などでワンタイムトークンを発行している場合など、上手くいかないケースもあるので注意

何かもっと良い方法があれば教えていただけると嬉しいです。

以上、参考までに