不正なクエリパラメータの時は 403 Forbiddenを返す。

Author: satopian

petitnote/functions.php

@@ -2,7 +2,7 @@
 //Petit Note (c)さとぴあ @satopian 2021-2026 MIT License
 //https://paintbbs.sakura.ne.jp/
 
-$functions_ver=20260614;
+$functions_ver=20260615;
 
 /**
  * 編集モードログアウト
@@ -1964,3 +1964,27 @@ function filter_input_data(string $input, string $key, int $filter=FILTER_UNSAFE
 	}
 		return $value;
 }
+/**
+ * 不正なクエリパラメータの時は 403 Forbiddenを返す
+ */
+function validateQueryParameters(){
+	$resno=filter_input_data('GET','resno',FILTER_VALIDATE_INT);
+	$page=filter_input_data('GET','page',FILTER_VALIDATE_INT);
+	$id=filter_input_data('GET','id',FILTER_VALIDATE_INT);
+	$resid=filter_input_data('GET','resid',FILTER_VALIDATE_INT);
+	$res_catalog=filter_input_data('GET','res_catalog',FILTER_VALIDATE_BOOLEAN);
+	$misskey_note=filter_input_data('GET','misskey_note',FILTER_VALIDATE_BOOLEAN);
+	//フィルタが失敗した時はfalse
+	if(
+		$resno===false||
+		$page===false||
+		$id===false||
+		$resid===false||
+		$res_catalog===false||
+		$misskey_note===false
+	)
+	{
+			header("HTTP/1.1 403 Forbidden");
+			exit();
+	}
+}

petitnote/index.php

@@ -3,8 +3,8 @@
 //https://paintbbs.sakura.ne.jp/
 //1スレッド1ログファイル形式のスレッド式画像掲示板
 
-$petit_ver='v2.0.5';
-$petit_lot='lot.20260614.1';
+$petit_ver='v2.0.6';
+$petit_lot='lot.20260615';
 
 $lang = ($http_langs = $_SERVER['HTTP_ACCEPT_LANGUAGE'] ?? '')
   ? explode( ',', $http_langs )[0] : '';
@@ -20,7 +20,7 @@
 	die(__DIR__.'/functions.php'.($en ? ' does not exist.':'がありません。'));
 }
 require_once(__DIR__.'/functions.php');
-if(!isset($functions_ver)||$functions_ver<20260614){
+if(!isset($functions_ver)||$functions_ver<20260615){
 	die($en?'Please update functions.php to the latest version.':'functions.phpを最新版に更新してください。');
 }
 
@@ -38,7 +38,7 @@
 
 check_file(__DIR__.'/search.inc.php');
 require_once(__DIR__.'/search.inc.php');
-if(!isset($search_inc_ver)||$search_inc_ver<20260614){
+if(!isset($search_inc_ver)||$search_inc_ver<20260615){
 	die($en?'Please update search.inc.php to the latest version.':'search.inc.phpを最新版に更新してください。');
 }
 

petitnote/search.inc.php

@@ -2,7 +2,7 @@
 //Petit Note (c)さとぴあ @satopian 2021-2026 MIT License
 //https://paintbbs.sakura.ne.jp/
 
-$search_inc_ver = 20260614;
+$search_inc_ver = 20260615;
 class processsearch
 {
 
@@ -13,19 +13,10 @@ class processsearch
 
 	private static function init(): void
 	{
-	
-	$gets=filter_input_array(INPUT_GET) ?? [];
-
-	// 許可リストをキーにした配列を作成
-	$allowed_keys = array_fill_keys(['mode', 'radio', 'imgsearch', 'q','page'], true);
-	// 不正なキーを抽出
-	$invalid_keys = array_diff_key($gets, $allowed_keys);
-	if (!empty($invalid_keys)) {
-		header("HTTP/1.1 403 Forbidden");
-		exit();
-	}
 
-	self::$imgsearch = (bool)filter_input_data('GET', 'imgsearch', FILTER_VALIDATE_BOOLEAN);
+		self::validateQueryParameters();
+
+		self::$imgsearch = (bool)filter_input_data('GET', 'imgsearch', FILTER_VALIDATE_BOOLEAN);
 		self::$page = (int)filter_input_data('GET', 'page', FILTER_VALIDATE_INT);
 		self::$q = (string)filter_input_data('GET', 'q');
 		self::$radio = (int)filter_input_data('GET', 'radio', FILTER_VALIDATE_INT);
@@ -305,4 +296,34 @@ private static function create_formatted_text_for_search(?string $str): string
 
 		return $s_str;
 	}
+/**
+ * 不正なクエリパラメータの時は 403 Forbiddenを返す
+ * @return void
+ */
+	private static function validateQueryParameters(): void{
+
+		$gets=filter_input_array(INPUT_GET) ?? [];
+		// 許可リストをキーにした配列を作成
+		$allowed_keys = array_fill_keys(['mode', 'radio', 'imgsearch', 'q','page'], true);
+		// 不正なキーを抽出
+		$invalid_keys = array_diff_key($gets, $allowed_keys);
+
+		$page=filter_input_data('GET','page',FILTER_VALIDATE_INT);
+		$radio=filter_input_data('GET','radio',FILTER_VALIDATE_INT);
+		$imgsearch=filter_input_data('GET','imgsearch');
+		$imagSearchOptions =["on","off"];
+		$isAllowedOption = in_array($imgsearch,$imagSearchOptions);
+
+		//フィルタが失敗した時はfalse
+		if(
+			!empty($invalid_keys)||
+			$page===false||
+			$radio===false||
+			$imgsearch && $isAllowedOption===false
+		)
+		{
+			header("HTTP/1.1 403 Forbidden");
+			exit();
+		}
+	}
 }